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本 書 に つい て 
Qualys に つい て 


本 書 に つい て 


Qualys クラ ウド プラ ッ ト フ ォ ー ム お よび カス タム 脆弱 性 チェ ッ ク に 関心 を お 寄せ いた だ き あ り が と う ご ざ 
いま す 。 こ の ガイ ド で は 、Qualys Remote Detection Interface (QRDI) を 使用 し て カス タム 脆弱 性 を 追加 す 
る 方 法 と 、Qualys Vulnerability Management スキ ャ ン を 開始 し て カス タム 脆弱 性 チェ ッ ク を 実行 する 方 法 
に つい て 説明 し ます 。 


Qualys に つい て 


Qualys, Inc. (NASDAQ: QLYS) は 、 セ キュ リティ と コン プラ イア ンス を 目的 と する クラ ウド ソリ ュー ショ 
ン の パイ オニ ア で あり 、 リ ー デ ィング カン パニ ー で す 。 Qualys の クラ ウド プラ ッ ト フ ォ ー ム お よび 統合 さ 
れ た アプ リケーション は 、 重 要 な セキ ュ リ ティ イン テリ ジェ ンス を オン デマ ンド で 提供 し 、IT シス テム と 
Web アプ リケーション の 監査 、 コ ユン プラ イア ンス 、 お よび 保護 の 全 範 囲 を 自動 化す る こと に より 、 ビ ジネス 
に お ける セキ ュ リ ティ 業務 の 簡略 化 と コン プラ イア ンス の コス ト 削 減 を 支援 し ます 。 


1999 年 の 創立 以来 、Qualys は 、Accenture、BT、Cognizant Technology Solutions, Deutsche Telekom、 富 
士 通 、HCL、HP Enterprise, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon, 
Wipro な どの マネ ー ジ ドサ ービス プロ バイ ダ や コン サル ティ ング 企業 と の 戦略 的 パー トナ ー シ ッ プ を 構築 
し て きま し た 。Qualys は 、CSA (Cloud Security Alliance) の 創立 メン バー で も あり ます 。 詳細 情報 は 、 
www.qualys.com を ご 覧 くだ さい 。 


Qualys サポ ー ト 


Qualys は 綿密 な サポ ー ト を 提供 し ます 。 不 明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よび 
E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サポ ー 
ト を 提供 し ます 。 サ ポー ト 情 報 に つい て は 、wwwr.qualys.com/support(/ を ご 覧 くだ さい 。 


lel, Qualys Remote Detection Interface (QRDD を 使用 し て カス タム 脆弱 性 (QID) を 


ORD 脆弱 性 ご と に 以下 を 指定 し ます 。 


- Qualys が 指定 する 脆弱 性 と 同様 の 脆弱 性 設定 (タイ トル 、 QID、 重 
- 脆弱 性 検出 の ロジ ッ ク を 記述 し た 有効 な QRDI 形式 の JSON 定義 。 


lii 
m 
+ 
KF 


スト が サポ ー ト され て いま す 。HTTP リダイレクト は フォ ロー され ませ ん 。 


に より 、 
Lua 関数 を 記述 し て 、 検 出 の 特定 部 分 を 実装 する こと が で きま す (送信 され る バッ ファ コン テン ツ の 計算 、 


- すべ て の QRDI 検出 で 共有 され る Lua 関数 ライ ブラ リ 。 これ 


カス タム 解析 ルー ル の 実装 な ど )。 


QRDI 検出 結果 : 


- QRDI 脆弱 性 検出 の 出力 は 、 Qualys が 提供 する 脆弱 性 検出 と 同村 
こ 表 示さ れ ま す 。 


キャ ン レ ポー ト 、API 出力 、 ア セッ ト 情 報 な ど に 同様 


JSON ドキ ュ メ ン 


- QRDI QID に デバ ッ グ レベ ル が 設定 され て いる 場合 、 ス キャ ン 結 果 内 の 検出 され た 脆弱 人 


場合 ) は トリ ガ さ れ ま せん 。 


必要 な も の 


操作 手順 
必要 な も の 


追加 し 、Qualys 


^ 
クラ ウド プラ ッ ト フ ォ ー ム UI お よび API を 使用 し て Qualys Vulnerability Management (VM) スキ ャ ン 
を 開始 する こと で カス タム 脆弱 性 チェ ッ ク を 実行 で きる よう に な り ま し た 。 


、 脅威 、 影 響 、 解 決 策 、 マ ッ ピ ング )。 


シン プル な HTTP お よび TCP リク エ 


ト で 参照 可能 な 


まで す 。 すなわち 、 QID イン スタ ンス が ス 


E / 収集 情報 は 処 


され ず 、 ホ スト 履歴 / トレ ンド 情報 に 追加 され ます 。 検 出 結 果 お よび デバ ッ グ デー タ は 、 ス キャ ン 結 果 レ 
ポー ト お よび スキ ャ ン ベ ー ス の スキ ャ ン レ ポー ト に 表示 され ます が 、 ホス ト ベ ー ス の スキ ャ ン レ ポー ト に は 
表示 され ませ ん 。 さ ら に 、QRDI で デバ ッ グ が 有効 に な っ て いる 場合 、QRDI QID の チケ ッ ト ル ー ル (ある 


Qualys カス タム QRDI チェ ッ ク が 有効 な Qualys クラ ウド プラ ッ ト フ ォ ー ム アカ ウン ト 。 カスタム QRDI 


チェ ッ ク の 作成 お よび 編集 
Qualys アカ ウン トマ ネー ジャ に お 問い 合わ せく だ さい 。 


QRDI 脆弱 性 に つい て 


カス タム QRDI 脆弱 性 を 追加 する と 、Qualys が 指定 する 脆弱 必 


索 で きま す 。 


E と 同相 


Kl 


こ は マ ネー ジャ ロー ル が 必要 で す 。 詳 細 に つい て は 、Qualys サポ ー ト また は 


こ 、 ア カウ ント の KnowledgeBase 
項 に 表示 され ます 。「Search」 オプション を クリ ッ ク す る と 、 す べ て の カス タム QRDI 脆弱 性 を すばやく 検 


操作 手順 
QRDI 脆弱 性 に つい て 


Vulnerability Management v [S] | Help | Vi 


Dashboard Scans Reports Remediation Assets KnowledgeBase Users 


Otel KnowledgeBase Search Lists iDefense Intelligence 
| New w || Search | る < 1-20 of 
QID Title a Severity Category CVEID Vendor Reference CVSS Base CVSS Temporal Score CVSS3 Base CVSS3 Ti 


検索 の カテ ゴリ QRDI を 選択 し ます 。 


QID $ 
Vulnerability Title: [] NOT 

Discovery Method All (default) v 

Authentication Type All に 2 

User Configuration- [_] Disabled [_] Edited 

Category: [ ]wor QRDI X x| 


QRDI 脆弱 性 の リス ト 例 を 以下 に 表示 し ます 。 


Dashboard Scans Reports Remediation Assets KnowledgeBase Users 


ausi EM KnowledgeBase MESE A Sm Picasa ic lle es 


| New | | Search 1-20 of 2€ 
QID Title a Severity Category CVE ID VendorReference Bugtraq ID Modified F 
410001 qrdi-http-1 EN |||? arp vendor-1 07/21/2017 C 
410002 qrdi-http-2 ENN |3 GRDI 07/20/2017 C 
410003 qrdi-http-3 gu 2 QRDI 07/21/2017 C 
410004 qrdi-http-4 NENNEN ORD CVE-2015-3455 vendor-1 12344 07/21/2017 C 
410005 qrdi-http-5 LII 2 QRDI CVE-2014-3455 vendor-1 12345 07/25/2017 C 
410006 qrdi-http-6 HE 2 QRDI 07/25/2017 C 


操作 手順 
QRDI 脆弱 性 に つい て 


脆弱 性 情報 に ドリ ル ダ ウ ン し ます 。 対象 の QOID の 上 に マウ スポ イン タ を 合わ せ て 、「Quick Actions]. メ 
=at Info] を 選択 し ます 。 


Dashboard Scans Reports Remediation Assets KnowledgeBase Users 


we KnowledgeBase MESE NN C US es 


| New w | | Search 


QID Title Severity Category CVE ID ェ Vendor Reference CVSS Temp 
410004 qrdi-http-4 Quick Actions [eleta) CVE-2015-3455 vendor-1 

410005 qrdi-http-5 C aT ARDI CVE-2014-3455 vendor-1 

410001 qrdi-http-1 oc Am QRDI vendor-1 

410002 qrdi-http-2 Baa 3 QRDI 


脆弱 性 情報 を 表示 し 、 必 要 に 応じ て 設定 を 編集 し ます 。 


Vulnerability Information - QID 410004 Launch Help x 


Details Title qrdi-http-4 


Severity Level iii {| : 


Vulnerability Type Confirmed Vulnerability 


Software 


Threat Discovery Method 
Authentication 
purs Edited: 


Owner: 
Solution 
Created 


Exploitability Service Modified 07/18/2017 at 02:53:08 (GMT-0700) 


User Modified 07/21/2017 at 03:49:44 (GMT-0700) 
Associated Malware 


Published 07/18/2017 at 02:53:08 (GMT-0700) 


追加 可能 な QRDI 脆弱 性 の 数 
サブ スク リプ ショ ン に 最大 20,000 件 の QRDI 脆弱 性 を 追加 で きま す 。 


脆弱 性 設定 に つい て 

QRDI 脆 絞 性 を 追加 する と き に 、 タ イト ル 、QID、 重 大 度 、 タ イプ 、 説 明 、 オ プシ ョ ン の マッ ピン グ (CVE 
ID、Bugtraq ID、 ベ ンダ リフ ァ レ ンス ) 、QRDI 定義 を JSON ドキ ュ メ ント の 形式 で 指定 し ます 。 カ テ ゴ ! 
は 常に QRDI で す 。 ヒ ント - カテ ゴリ QRDI の KnowledgeBase を 検索 し て 、 カ スタ ム QRDI 脆弱 性 を 見 
つけ ます 。 


QRDI 脆弱 性 へ の QID の 割り 当て 

各 QRDI 脆弱 性 に 410001 ~ 430000 の 範囲 内 の QID を 割り 当て ます 。 新 し い QRDI 脆弱 性 を 作成 する 場 
合 、 次 に 使用 で きる QD が QID フィ ー ル ド に 事前 入力 され ます 。 新 し い QID が 許容 範囲 内 で 、 ま だ 使用 
され て いな い 場 合 、 こ れ を 使用 する か 、 ま た は 変更 し ます 。 


QRDI 脆弱 性 の 編集 


操作 手順 
QRDI 脆弱 性 に つい て 


一 般 情 報 (タイ トル 、 重 大 度 、 説 明 、 マ ッ ピ ング な ど ) お よび QRDI 定義 (SON ドキ ュ メ ント ) は いつ で 


も 編集 で きま す 。QID、 カ テ ゴ リ QRDI、 お よび 脆弱 性 タイ プ (収集 情報 で ある 場合 ) 


QRDI 脆弱 性 の 削除 
QRDI 脆弱 性 の QID は 、 サ ブス クリ プシ ョ ン に 追加 後 削 除 す る こと は で きま せん 。 


QRDI 脆弱 性 の 有効 化 / 無効 化 の サポ ー ト 


は 編集 で きま せん 。 


Qualys が 指定 する 脆弱 性 と 同様 に 、 脆弱 性 設定 を 編集 し て 、 QRDI 脆弱 性 を 有効 化 / 和 


ほ 効 化す る こと が で き 


ます 。 キー ポイ ント - 無効 に され た 脆弱 性 が スキ ャ ン 設 定 (オプ ショ ンプ ロフ ァイル ) 


他 の 脆弱 性 と 同様 に スキ ャ ン さ れ 、 ス キャ ン 結 果 お よび レポ ー ト に グレ ー 表 示さ れ ま す 。 


に 含ま れ て いる 場合 、 


QRDI 脆弱 性 を 追加 する 方 法 


Vulnerability Management マ 


Dashboard Scans Reports Remediation Assets KnowledgeBas 


Bue M KnowledgeBase Search Lists iDefense Intelligd 


| New v | | Search 
OVAL Vulnerability. 


sm » | (arorvuneresiiy ) | 


QRDI LUA Library... — 5r Unbreakable Enterprise kernel (OVMSA-2019-0011) 
t 


New QRDI Vulnerability 


Download.. 


General Information 


Additional Mappings Easily add custom vulnerabilities (QIDs) using Qualys Remote 
Interface (QRDI) and execute them by launching Qualys Vulne! 
Threat Management scans 
QID 410003 
ADEE (QID must be between 410001 and 430 
Solution Title: * My QRDI Vulnerability 
QRDI Definition Sosy QRDI 


New QRDI Vulnerability Launch Help 


General Information 


Additional Mappings 
Mappings appear with vulnerability details in reports and asset views. 
Threat CVE IDs: CVE-2013-3455 
Impact 
Solution 


Bugtraq IDs 2026 
QRDI Definition 


Vendor References: |[("reference":"Vendor1","url":"http://vendor.com "}] 


New QRDI Vulnerability 


General Information 


QRDI Definition 


Provide a QRDI definition, in valid JSON format, that describes 
vulnerability detection. See sample here 


Additional Mappings 


Threat 
n Check JSON.. 
Impact A 
Solution ` QRDI JSON ドキ ュ メン ト を 
ここ に 追加 


QRDI Definition > 


操作 手順 
QRDI 脆弱 性 を 追加 する 方 法 


「KnowledgeBase」 を 選択 し 、「New」 
= 「QRDI」 ^ l'ORDI Vulnerability | 
を 選択 し ます 。 


以下 の 脆弱 性 設定 を 指定 し ます 。 


- 一 般 情 報 (QID、 タ イト ル 、 タ イ 
プ 、 重 大 度 ) 


- オプ ショ ン の マッ ピン グ (CVE ID, 
Bugtraq ID、 ベ ンダ リフ ァ レ ンス ) 


- 省 威 、 影 響 、 解 決 策 の 説明 


- この 脆弱 性 に 関連 する CVE ID 


- 脆弱 性 に 割り 当て られ た Bugtraq 
IDEs 


- ベン ダ が リリ ー ス し た ベン ダ 参 照 
ID ベン ダ 参 照 ID と ベン ダ の Web 
サイ ト へ の URL リン ク を 指定 し ま 
す 。 例 : 


[{"reference":"Vendor1","url":"http: 
//www.vendor.com"} ] 


検出 の ロジ ッ ク (検出 の 実行 条件 、 
デー タ の 送受 信 順 、 パ ター ン 一 致 
ルー ル 、 検 出 の 実行 に 必要 な その 他 
の デー タ ) を 記述 し た JSON ドキ ュ 
メン ト を アッ プロ ー ド し ます 。 


\ 細 


nul 


操作 手順 


QRDI Lua ライ ブラ リ を 追加 する 方 法 


ONDL poz» In FR 
È = — o 


General Information QRDI Definition デバ ツ グモ ー ド を 有効 に す る に は 、 


Additional Mappings Provide a QRDI definition, in valid JSON format, that describes 最 Lr ^ JSON a dia A b ie “ 
vulnerability detection. See sample here debug level li を 追加 Ls t ギン グ 情 
Threat i 報 の 詳細 度 (最小 か ら 最 大 まで ) を 
wma ar TS 
Dera den (100, 200, 300, 400 の いずれ か ) 
solution i tr, を 追加 し ます 。 


1 
QRDI Definition > "T 


QRDI Lua ライ ブラ リ を 追加 する 方 法 


1) [KnowledgeBase] ^ [New] > 「QRDI」 > 「QRDI LUA Library」 を 選択 し ます 。 


Vulnerability Management v 


Dashboard Scans Reports Remediation Assets KnowledgeBase 


ausu aedi KnowledgeBase Search Lists iDefense Intellige 
| New w | | Search 


OVAL Vulnerability. 


QRDI > QRDI Vulnerabili f 
Emka QRDI LUA Library... ep 


710004 real lUa 2 


2) 参照 する た め に 「Choose File」 を クリ ッ ク し 、Lua ライ ブラ リフ ァイル (lua また は txt) を シス テム 


か ら 選 択 し ます 。 


3) 使用 開始 で きる よう [Library Status」 を 「Published」 に 設定 し ます 。 ラ イブ ラリ を 使 


1 し な い 場 合 ( ま 


だ 作業 中 の 場合 な ど ) は 、 ス テー タス を 「Draft」 ま た は 「Imactive」 に 設定 し ます 。 


4) [Save] を クリ ッ ク し ます 。 


New LUA Library 


QRDI LUA Library Launch Help 


Upload your LUA library file and set the status. 


Library Status Published i [3] 
Library File 


Select a .txt or .lua file to import. The file size must not exceed 1MB. 


(choose Fie) e 


[1] Legal Notice 


It is the End-User's responsibility to ensure that the uploaded file does not include any malware or malicious code and that all Federal laws related to scanning 
internal/external systems are followed. You must adhere to the terms and conditions outlined in the Qualys End User License Agreement. 


操作 手順 
スキ ャ ン 設 定 を 行う 方 法 


[LUA Library Information] 画面 に 詳細 が 表示 され ます 。 


QRDI LUA Library Launch Help 


(x 
nu 


LUA Library Information 
ID: 1360 
Purpose QRDI 
LUA File Name: my lua library.lua 
LUA File Size: 999.5 KB 
Library Status: Published 
Created By: Patrick Slimmer 
Created On: 06/04/2019 at 10:52:16 AM (GMT-0700) 
Last Updated By N/A 
Last Updated On: N/A 
cee 」 ot ac 
に = d 
この ウィ ンド ウ は いつ で も 閉じ る こと が で きま す 。「KnowledgeBase」 ^ [New] ^ 「QRDI」 ^ 「QRDI 


LUA Library」 を 選択 する と 、 い つ で も この 画面 に 戻る こと が で きま す 。 こ こ か ら 、 以 下 の 操 作 を 実行 で き 
ます 。 


Edit - [Edith を クリ ッ ク す る と 、 新 規 / 変更 済み ライ ブラ リフ ァイル を アッ プロ ー ド し た り 、 ラ イブ ラリ 
ステ ー タ ス を 変更 し た り で きま す (サブ スク リプ ショ ン に アッ プロ ー ド で きる の は 一 度 に 1 つの Lua ライ 
ブラ リフ ァイル の み で す )。 


Download - 「Download」 を クリ ッ ク す る と 、 最後 に 保存 され た ライ ブラ リフ ァイル を ダウ ン ロ ー ド で きま 
す (変更 も 可能 な 場合 が あり ます )。 


Delete - [Delete] を クリ ッ ク す る と 、 サ ブス クリ プシ ョ ン か ら Lua ライ ブラ リフ ァイル を 削除 で きま す 。 
Lua スク リプ ト 作 成 の 詳細 


スキ ャ ン 設 定 を 行う 方 法 


スキ ャ ン に 使用 する オプ ショ ンプ ロフ ァイル の [Vulnerability Detection」 項 を カス タマ イズ し ます 。 FE 
は いく つか あり ます 。 


オプ ショ ン 1 - アカ ウン ト 内 の すべ て の 脆弱 性 を スキ ャ ン し ます 。 Qualys が 指定 する 脆弱 性 に 加え て 、 すべ 
て の QRDI 脆弱 性 が 含ま れ ま す 。「Complete」 お よび 「AIll QRDI checks」 を 選択 し ます 。 


Vulnerability Detection 
(. ) Custom 
(J Select at runtime 


Include 

Basic host information checks [ View list 
OVAL checks 

| All QRDI checks 


Exclude 
Excluded QIDs 


操作 手順 
推奨 され る スキ ャ ン ワ ー ク フロ ー 


オプ ショ ン 2 - 選択 し た QRDI 脆弱 性 を スキ ャ ン し ます 。 QRDI 脆弱 性 の み を 含む 検索 リス ト ( 静 的 / 動 的 ) 
を 作成 し 、「Custom」 を 選択 し て カス タム リス ト を 追加 し ます 。 以 下 の 例 で は 、 静 的 検索 リス ト と 動 的 検索 
リス ト に 一 致す る QRDI 脆弱 性 チェ ッ ク が 選択 され て いま す 。 


Vulnerability Detection 
( ) Complete 


Include the QIDs from the selected lists 


X Info Title ^| AddLists | 
© © QRDI-Static Clear All 


© (0 QRDLDynamic 


x Info Title P 


O Select at runtime 


オプ ショ ン 3 - 選択 し た 脆弱 性 (Qualys が 指定 し た 脆弱 性 お よび QRD 脆弱 性 ) を スキ ャ ン し ます 。.QRDI 
脆弱 性 と Qualys 脆弱 性 を 含む 検索 リス ト ( 静 的 / 動 的 ) を 作成 し 、「Custom」 を 選択 し て 検索 リス ト を 追 
加 し ます 。 


Vulnerability Detection 


(C) Complete 
(e) Custom 
nclude the QIDs from the selected lists 


^ 


X; Info Title a Add Lists | 
© © Dynamic - No QRDI Clear All 


© (2 wannacry and Shadow Brokers 
© © QRDLDynamic 


So infa Tisia 


CO Select at runtime 


推奨 され る スキ ャ ン ワ ー ク フロ ー 
D QRDI 脆弱 性 を デバ ッ グ モー ド で 追加 し ます 。 


方 法 は 、debug level: を 最上 位 の JSON オブ ジェ クト に 追加 し 、 ロ ギン グレ ベル を 100, 200, 300, 400 の 
いずれ か に 設定 し ます 。 SER 


2) QRDI 脆弱 性 に スキ ャ ン を 開始 し ます (デバ ッ グ モー ド が 有効 )。 


デバ ッ グ モー ド が 有効 の 脆弱 性 の スキ ャ ン 処 理 は 実行 され ず 、 関連 する ホス ト ベ ー ス の スキ ャ ン デ ー タ は ア 
カウ ント で 更新 され ませ ん 。 


3) スキ ャ ン 結 果 を 確認 し 、 脆 弱 性 の 検出 が 正常 に 実行 され て いる こと を 確認 し ます 。 


QRDI 脆弱 性 の 詳細 に 、 デ バッ グ デ ー タ お よび エラ ー の 項 が 追加 され て いま す (スキ ャ ン 結 果 を 参照 ) F 
バッ グ 情 報 を 使用 し て 、 結 果 を 解析 し 、 問 題 が あれ ば 解決 し ます 。 


4) QRDI 脆弱 性 を 編集 し 、 デ バッ グモ ー ド を 無効 に し ます 。 
5) QRDI 脆弱 性 に スキ ャ ン を 開始 し ます (デバ ッ グ モー ド が 無効 )。 


デバ ッ グ モー ド が 無効 の 脆弱 性 の スキ ャ ン 処 理 が 実行 され 、 関連 か る ホス ト ベ ー ス の スキ ャ ン デ ー タ が アカ 
ウン ト で 更新 され ます 。 
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スキ ャ ン 結 果 


スキ ャ ン で 実行 され た すべ て の 脆弱 性 チェ ッ ク の 情報 が スキ ャ ン 結 果 と し て 返さ れ ま す 。 


操作 手順 
スキ ャ ン 結 果 


- オプ ショ ンプ ロフ ァイル に 定義 され た すべ て の QRDI 脆弱 性 が スキ ャ ン 結 果 に 含ま れ ま す 。 


- デバ ッ グ モー ド の QRDI 脆弱 性 の 詳細 結果 に デバ ッ グ 情報 が 含ま れ ま す 。 


検 


Scan Results 


出さ れ た 脆弱 性 が サマ リ に 表示 され ます 。. 


Filey View» Helpr 


Summary of Vulnerabilities 


Total: 100 Security Risk (Avo): MIB s.o 
| by Severity 
Severity Confirmed Potential 
5 13 2 
4 1 0 
3 6 2 
2 0 13 
1 30 32 
Total 50 49 
| 5 Biggest Categories 
Category Confirmed Potential 
QRDI 50 49 
Total 50 49 


スキ ャ ン 結 果 の デバ ッ グ 情報 


追加 デー タ が スキ ャ ン エ ンジ ン か ら 渡 され 、 デ バッ グ ヨ 
表示 され ます 。「Detailed Results) © [RESULT DEBBUG」 に デバ ッ グ デー タ (ログ メッ セー 


IN 


Information Gathered Total 
0 
0 1 | 
0 8 
0 13 
1 63 | 
1 100 
Information Gathered Total j 
1 100 
1 100 


Eー ド の QRDI 脆弱 性 の スキ ャ ン 結 果 に 


ジ ) が 含ま れ 、 ト リガ 条件 が 満た され る と 、 対 応 す る QID が 常に ポス ト さ れ ま す 。 検 出 が エ 


ラー に な る と 、「RESULT ERRORS」 が 発生 し ます 。 
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デバ ッ グ モー ド で な い QRDI fesat 


E の 例 - Qualys 指定 の QID と 同様 の 内 容 


操作 手順 
スキ ャ ン 結 果 


Scan Results m 


File 


View» Helpy 


Detailed Results 


マ 10.20.31.111 (ubu-31-111.mI2k8.vuln.ga.qualys.com, -) - Star Trek 
w Vulnerabilities (50) HE 


マ 


BENE 5 qrdihttp2 

QID: 410002 

Category: QRDI CVSS Base: 

CVE ID: - CVSS Temporal: 
Vendor Reference vendor-3 CVSS3 Base: 
Bugtraq ID: - CVSS3 Temporal: 
Service Modified: 2017-07-17 

User Modified: 2017-08-04 

Edited: No 

PCI Vuln: No 

THREAT: 

qrdi http 2 - custom threat description 

IMPACT: 

qrdi http 2 - custom impact description 

SOLUTION: 

qrdi http 2 - custom solution description 

COMPLIANCE: 

Not Applicable 

EXPLOITABILITY: 


There is no exploitability information for this vulnerability. 


ASSOCIATED MALWARE: 
There is no malware information for this vulnerability. 


RESULTS: 
Regex Pattern found on page 


Ubuntu / Fedora / Tiny Core Linux / Linux 3.x 


port 8080/tcp 


デバ ッ グ モー ド の QRDI 脆弱 性 の 例 - 


合 の 「RESULT ERROR」 項 を 含む 。 


[RESULT DBBUG」 項 (ロギング 情報 ) と 、 エ ラー が 発 4 


LT 


LEG 


Filey View» Helpy 
MBM 5 qrdihtp2 
v BEN 4 qrdihttp 15 
QID: 410015 
Category: QRDI CVSS Base: 
CVE ID: - CVSS Temporal: 
Vendor Reference - CVSS3 Base: 
Bugtraq ID: - CVSS3 Temporal: 
Service Modified: 2017-07-26 
User Modified: 2017-08-04 
Edited: No 
PCI Vuln: No 
THREAT: 
qrdi http 15 - my custom threat descrription 
IMPACT: 
qrdi http 15 - my custom impact descrription 
SOLUTION: 
qrdi http 15 - my custom solution descrription 
COMPLIANCE: 
Not Applicable 
EXPLOITABILITY: 


There is no exploitability information for this vulnerability. 


ASSOCIATED MALWARE: 
There is no malware information for this vulnerability. 


RESULTS: 
This is high debug level test case 


Start time: Fri 04 Aug 2017 12:33:09 PM GMT 

+0:00:00 Executing custom detection This is a test for custom http detection’ for QID 410015 
*0:00:00 Processing dialog item 1, transaction type ‘http get’ 

+0:00:00 Timeout: 60 seconds 

+0:00:00 Hostname: '10.20.31.111" 

+0:00:00 Effective URL: "http://10.20.31.111:8080/index.htmr 
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port 1443/tcp over SSL 
port 8080/tcp 


操作 手順 
スキ ャ ン 結 果 


タグ «RESULT DEBUG> を 持つ デバ ッ グ モー ド の QRDI 脆弱 性 の 例 (XML 形式 ) 


<VULN number-"410015" severity="4"> 

<TITLE><! [CDATA [qrd1 http 15]]></TITLE> 

<LAST_UPDATE><! [CDATA[2017-08-04T17:20:392Z] ] ></LAST_UPDATE> 

«CVSS BASE></CV88 BASE» 

«CVSS TEMPORAL»-«/CVSS TEMPORAL» 

«CVSS3 BASE></CVS83 BASE» 

«CVSS3 TEMPORAL»-«/CVSS3 TEMPORAL» 

«PCI FLAG>0</PCT FLAG» 

<DIAGNOSIS><! [CDATA [qrdi http 15 - my custom threat 
descrription]]»«/DIAGNOSIS- 

<CONSEQUENCE><! [CDATA[qrdi http 15 - my custom impact 
descrription] ] ></CONSEOUENCE> 

<SOLUTION><! [CDATA [qrd1 http 15 - my custom solution 
descrription] ] ></ SOLUTTON> 

<RESULT><! [CDATA[Thigs is high debug level test 
case] ] ></RESULT> 

«RESULT DEBUG><! [CDATA [Start time: Fri 04 Aug 2017 12:33:09 


PM GMT 

+0:00:00 Executing custom detection 'This is a test for custom http 
detection' for QID 410015 

+0:00:00 Processing dialog item 1, transaction type 'http get' 
+0:00:00 Timeout: 60 seconds 

+0:00:00 Hostname: '10.20.31.111' 

+0:00:00 Effective URL: 'http://10.20.31.111:8080/index.html' 
+0:00:00 Returned data '\n' 

+0:00:00 Returned data '<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 
1.0 Transitional//EN" "http://www.w3.org/TR/xhtm11/DTD/xhtmll- 
transitional.dtd">\n' 

+0:00:00 Dialog item 3 finished with action 'stop' 

+0:00:00 Custom detection returned success] ]></RESULT DEBUG> 
</VULN> 
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操作 手順 
レポ ー ト 


レポ ー ト 


QRDI 脆弱 性 が デバ ッ グ モー ド に な っ て いな い 限 り 、 最 新 の QRDI 脆弱 性 検出 が レポ ー ト お よび API 出力 
に 表示 され ます 。 


Vulnerability Management v 


Dashboard Scans Reports Remediation Assets 


nili Reports Reports Schedules Templates A 


v| |New v || Search | | Filters w 
[]w | Scan Report > 
| Scorecard Report... PCI Scan Template... 
L] の Scanne Map Report... "rvovs-zurruou«-zurr0804 - : 
E の APILaut Patch Report... 
= | Authentication Report 
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QRDI 脆弱 性 定義 
JSON ドキ ュ メ ント の 概要 


QRDI 脆弱 性 定義 


JSON 定義 は 、 有 効 な QRDI 形式 で 脆弱 性 検出 の ロジ ッ ク を 記述 し た も の で す 。 シ ンプ ル な HTTP お よび 
TCP リク エス ト が サポ ー ト され て いま す 。HTTP リダイレクト は フォ ロー され ませ ん 。 


この 項 は 、QRDI が サポ ー ト する JSON スキ ー マ の 公式 参照 で す 。 


QRDI は 、 決 の サー ド パ ー テ ィ テ クノ ロジ に 基づい て いま す 。 


構造 化 デ ー タ を 正式 に 記述 する た め の JSON ドキ ュ メ ント 標準 (www. json.org) 


Lu プロ グラ ミン グ 言 語 (www.Iua.org) (最新 バー ジョ ン Lua 5.3) 


PCRE - Perl Compatible Regular Expressions (www.pcre.org) 


JSON ドキ ュ メ ント の 概要 


QRDI が サポ ー ト する JSON 標準 は ECMA-404 と 互換 性 が あり ます 、 さ ら に 、 QRDI で は 、“ // ” で 始ま 


V, ITOR 


尾 ま で 拡張 され る JavaScript 型 の コメ ント を 使用 で きま す 。 QRDI が サポ ー ト する JSON ドキ ュ 


メン ト の 最上 位 ア イ テ ム は 、 い くつ か の 必須 フィ ー ル ド と オプ ショ ン フ ィ ー ル ド を 持つ JSON オブ ジェ クト 
で す 。 現時点 で HTTP 検出 タイ プ が サポ ー ト され て いま す 。 


例 1 - 有効 な HTTP 検出 を 記述 し た JSON ドキ ュ メ ント 


"detection type": "http dialog", 
"api version": 1, 
"trigger type": "service", // may also be "virtual host" 
"title": "custom XSS detection", 
"dialog": [ 
{ 
"transaction": "http get", 
"Object": "/cgi- 


bin/no5 such3 file7.pl?\"><script>alert (73541) ;«/script»" 


}, 
{ 


"transaction": "process", 

"mode": "regexp", 

"match": "\"s<script>alert\\ (73541\\) ;</script>" 
1s 
{ 

"transaction": "report", 

"result": "XSS found" 
} 
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QRDI 脆弱 性 定義 
共通 概念 


例 2 - "http_header" を 使用 し て 有効 な HTTP 検出 を 記述 し た JSON ドキ ュ メ ント 


"http header'" フィ ー ル ド は 


の フィ ー ル ド に は 、HTTP 


きま す 。 こ の 文字 列 は 、eval 式 を 使 


{ 


"detection type": 
"api version": 
"trigger type": 


"title": 


"ports": 
dialog": 


{ 


Company nameWMnUser-Agent: 


共通 概念 
変数 


QRDI 


は 、「 変 数 」 の 概念 
H さ れる スト レー ジス ロッ ト で す 。 


. "http get" お よび "http post" トラ ン ザ クシ ョ ン の 使用 可能 フィ ー ル ド で す 。 こ 
に 追加 され る 、 改行 で 区 切ら れ た ヘッ ダ 行 を 持つ 単 一 文字 列 を 指定 で 
し て 動 的 に 計算 で きま す 。 


リク エス 


H 


"http dialog", 


I; 
"Service", 
"Custom http header test detection", 
8080, 
[ 
"transaction": "http get", 
"http header": "HEADER TEST: HeaderTest \nCOMPANY : 


UserAgentTest", 


"object": "index.html", 

"label" "label to start transaction" 
"transaction": "process", 

"label" "label to process transaction", 
"mode": "luapattern", 

"match": "xterm" 

"transaction": "report", 

"label" "label to report transaction", 
"result": "Luapattern is detected" 


aii 


を サポ ー ト し て いま す 。 変 数 と は 、 検 出 の 実行 時 に 一 時 デー タ を 保存 する の に 
例え ば 、 変 数 を 使用 し て 、1 つの クエ リ の 結果 の 一 部 を 保存 し 、 そ 】 


H 


司 じ 検出 の 次 の クエ ! 
は 、1 つの QRDI 検 H 


て 読み 
例 : 


され た 結果 の HTTP 本 文 が シス テム 変数 “ body ” | 


OF 式 設 
HH で す 。 す な わ ち 、 変 数 の 値 は 複数 の QRDI 検出 間 で 保持 
変数 の タイ プ は 、 ユ ー ザ 変数 と シス テム 変数 の 2 つ で す 。 ユ ー ザ の 視点 か ら 、 シ ステ ム 変 数 に 
権限 が あり ます 。 こ れ ら は 、QRDI ラン タイ ム に よっ て 
取る こと が で きま す が 、 


HTTP 検出 で は 、 そ れ ぞ れ の “http get” "また は “http put” ト ラン ザク ショ ン 後 に 、Web サー バ か ら 


E に 使用 し た り 、 レ ポー ト 用 に デー タ を 保存 し た り で きま す 。 FERRO RI 
され ませ ん 。 


は 読み 取り 専 
よっ 


定義 され た 値 に 設定 され ます 。 SON 定義 に 


変更 


は で きま せん 。 


返 


こ 使用 


で きま す 。 
込み が で きま す 。 


ユー ザ 変 数 は 、JSON RH 


由 に 作成 、 読 み ] 


H^ 5 取り 、 
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Eval xt 


QRDI JSON スキ ー マ で は 、「eval 式 」 を 使 
字 列 連結 を 使用 で きま す 。 


次 の 項目 は 、eval 式 が 許可 され る 場合 に 許可 され ます 。 
文字 列 定数 の 例 

"abc" 

数 値 定数 の 例 

123 

45.6 


ユー ザ 変 数 リフ ァ レ ンス の 例 


("user": 


quoted variablename) 


シス テム 変数 リフ ァ レ ンス の 例 


{"system": quoted variablename) 


配列 内 の 項 


の 文字 列 連結 の 例 


{ "concat": [eval-expression ...]} 


より 複雑 な 連結 の 例 


"concat": 


"abc", ("system": "body"), 123, {"user": 


QRDI 脆弱 性 定義 
共通 概念 


し て 値 を 動 的 に 計算 で きま す 。 現 在 、eval 式 で は 、 定 数 と 文 


"myvarl"}] } 


この eval 式 の 結果 は 、 次 の 項目 を 連結 し た こと に よっ て 構成 され た 文字 列 で す 。 


" " 


abc 


シス テム 変数 body DÍE 
"123" (整数 か ら 文 字 列 に 自動 的 に 変換 ) 


ユー ザ 変 数 myvarl の 値 


ダイ ログ と トラ ン ザ クシ ョ ン 


QRDI 検出 


ルド を 含め る , 


ン か ら な る JSON 配列 で す 。 各 ト ラン ザク ショ ン に は 、 QRDI RH 


ルド を 指定 で きま す 。 


"transaction": 文字 列 定数 と し て トラ ン ザ クシ ョ ンタ イプ を 指定 する > 


いる トラ ン ザ クシ ョ ンタ イプ は 、 検 出 タ イプ に よっ て 異な り ま す 。 
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記述 する 各 JSON ドキ ュ メ ント に は 、 検 出 の 基礎 と な る ダイ アロ グ を 記述 し た "dialog" フィ ー 
必要 が あり ます (上 記 の 例 を 参照 )。 ダ イア ログ フィ ー ル ド の 
HH の 1 ステ ッ プ が 記述 され ます 。 ト ラン ザ 
クシ ョ ン は 、 通 常 、 指 定 さ れ た 順序 で 実行 され ます が 、 そ の 動作 は 特定 の “ 
(下記 参照 )。 各 トラ ン ザ クシ ョ ン に は 、 以 下 の フ ィ ー ル ド に 加え て 、 ト ラン サ 


直 は 、1 つ 以 上 の トラ ン ザ クシ ョ 


return actions ” で 変更 で きま す 
が クシ ョ ンタ イプ に 固有 の フィ ー 


必須 フィ ー ル ド 。 サポ ー ト され て 


QRDI 脆弱 性 定義 
共通 概念 


mlabe1m: ト ラン ザク ショ ン に ラベ ル (名 前 ) を 割り 当て る オプ ショ ン の フィ ー ル ド 。 こ れ は 、 以 下 で 説明 
する "goto" リ ター ン ア クシ ョ ン と 組み 合わ せ て 使用 さき され 、 ト ラン ザク ショ ン を "goto" ジャ ンプ の 対象 に す 
る こと が で きま す 。QRDI 検出 内 の ラベ ル は 一 意 で ある 必要 が あり ます 。 


すべ て の タイ プ の 検出 で 共有 され る トラ ン ザ クシ ョ ンタ イプ は 、"report' ト ラン ザク ショ ン の み で 、 形 式 は 
以下 の と お り で す 。 


{ 


"transaction": "report", 
"result":  eval-expression 


wrepor モ "トラ ン ザ クシ ョ ン は 常に 、 検 出 の 最後 に 実行 され ます 。 そ の eval 式 か ら 結果 を 計算 し 、 検 出 に 
関連 する QID の 結果 と し て その 結果 を 平文 で ポス ト し ます 。 そ の 後 、 検 出 の 処理 が 停止 し ます 。 


検出 の トラ ン ザ クシ ョ ン 配 列 の 処理 は 、 次 の いずれ か の 方 法 で 終了 で きま す 。 


- wrepor モ "トランザクション を 実行 する 。 こ れ に より 、QID の 結果 が レポ ー ト トラ ン ザ クシ ョ ン の 
"result" フィー ルド に 平文 で 表示 され ます 。 


- トラ ン ザ クシ ョ ン 配 列 の 最後 を 実行 する 。 こ の 場合 、QID は ポス ト さ れ ま せん 。 
- "stop リリ ター ン ア クシ ョ ン を 実行 する (下記 参照 )。 こ の 場合 、QID は ポス ト さ れ ま せん 。 


- エラ ー が 発生 する か 、"error" リ ター ン ア クシ ョ ン が 発生 する (下記 参照 )。 こ の 場合 、 QID 結果 の 平文 
IR E QID 結果 の XML HO /INFO/ERROR XML タグ に エラ ー メ ッ セ ー ジ が 表示 され ます 。 


リタ ー ン アク ショ ン 
「 リ ター ン ア クシ ョ ン 」 は JSON スキ ー マ の 複数 箇所 で 使用 され ます 。 リ ター ン ア クシ ョ ン は 、 ト ラン ザク 
ショ ン の 結果 を 定義 し 、QRDI ラン タイ ム に 次 の 動作 を 指示 し ます (検出 の 中 止 、 次 の トラ ン ザ クシ ョ ン の 
続行 、 別 の トラ ン ザ クシ ョ ン の 続行 、 エ ラー の 表示 な ど ) 。 以 下 の リ ター ン ア クシ ョ ン が 現在 サポ ー ト され 
て いま す 。 パ ラメ ー タ を 使用 し な い シ ンプ ル な リタ ー ン アク ショ ン は 、 定 数 文字 列 と し て 指定 で きま す 。 パ 
ラメ ー タ が 必要 な リタ ー ン アク ショ ン は 、JSON オフ ジェ クト を 使用 し て 指定 し ます 。 


"Continue": これ が デフ ォ ル ト で す 。 ラン タイ ム は 、 ト ラン ザク ショ ン 配 列 の 次 の り の トランザクション を 続 
行 し ます 。 ト ラン ザク ショ ン 配 列 の 最後 に 到達 する と 、 検 出 の 処理 が 終了 し 、QID は ポス ト さ れ ま せん 。 


"stop": ラン タイ ム に 現在 の 検出 を 停止 する よう 指示 し ます 。 こ の 場合 、QID は ポス ト さ れ ま せん 。 


"report": ラン タイ ム に 、 タ イプ "report" の 次 の トラ ン ザ クシ ョ ン に 順番 に スキ ッ プ する よう 指示 し 
ます 。 こ の タイ プ の トラ ン ザ クシ ョ ン が な い 場 合 、 こ の 動作 は "stop" と な り ま す 。 


("action": "goto", "label": quoted targetlabel): ラン タイ ム に 、 指 定 し た ラベ ル を 持 
つ ト ラン ザク ショ ン を 続行 する よう 指示 し ます 。 こ の タイ プ の トラ ン ザ クシ ョ ン が 存在 しない 場合 、 エ ラー 
が 発生 し 、 検 出処 理 は エラ ー と な り ま す 。 


("action": "error", "message": quoted errormsg): 検出 の 処理 を 停止 させ 、 エ ラー を 発 
生 さ せま す 。 こ の 場合 、QID に エラ ー が 表示 され ます (上 記 参 照 )。 
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すべ て の 検出 に 共通 する JSON 構文 


以下 の フィ ー ル ド は 、 REMO JSON オブ ジェ クト で サ ォ 


= 
kia 


に 共通 し て いま す 。 


"detection type": QRDI fai 


H の タイ プ を 記述 する > 


"http dialog" の タイ プ が サポ ー ト され て いま す 。 


"api version": この 検出 が 書き 込 
され て いる 値 は 、 整 数 の 1 の み で す 。 


"trigger type": ORDI 検 H 
いる 値 に つい て は 、「HTTP ダイ アロ グ 検 H 


"debug level": ORDI {RH 
ショ ン の フィ ー ル ド 。 以下 の 値 が 使用 で きま 


E 成 され 
の 最初 


-- 0: デバ ッ グ 情報 は 4 


E3 4 


cie 


LI 
O 


-- 100: QRDI 検 


Y, 


-- 300: 200 の 情報 に 加え て 、 変 数 の 値 と 一 時 デー タ が ログ に 記録 され ます 。 た だ 
な い 有 効 な UTF-8 文字 列 が 含ま れる 場合 と 、 


グ に 記録 され ます 。 


HE bY UF SRM 


E 


文字 列 


o 


ヽ 


S 
ay 


QRDI 脆弱 性 定義 
すべ て の 検出 に 共通 する JSON 構文 


H 
H 


ー ト され て お り 、 すべ て の タイ プ の リモ ー ト 検 


須 フ ィ ー ル ド 。 現 在 、 


"tcp dialog" お よび 


まれ る QRDI バー ジョ ン を 記述 する 必須 フィ ー ル ド 。 現 在 サ ポー ト 


FEF ま た は イベ ント を 示す 必須 フィ ー ル ド 。 サ ポー ト さ れ て 
H」 を 参照 し て くだ さい 。 


HH の 各 イ ンス タン ス に 返さ れる デバ ッ グ : 


青 報 (ロギング ) の 詳細 度 を 示す オプ 


3n 


ませ ん 。 これが デフ ォ ル ト で す 。 
の み が ロ グ に 記録 され ます 。 
-- 200: 100 の 情報 に 加え て 、 各 トラ ン ザ クシ ョ ン と ライ ンタ イム エラ ー の 昔 


最初 と 最後 が ログ に 記録 され ま 


し 、 文 字 列 に 特殊 文字 の 


直 が 1024 文字 より 少な い 場 合 に の み 、 文 字 列 値 が ロ 


-- 400: 300 の 場合 と 同様 で す が 、 必 要 に 応じ て 、2 進 /16 進 ゲ ンプ の 組み 合わ せ で 、 有 効 な UTF-8 文字 列 


が 含ま れ な い 文 字 列 また は 1024 文字 より ] 
最初 の 4kB と 最後 の 4kB の み が ロ グ に 記 


Hn 


"dialog": 検出 で 実行 され る トラ ン ザ ク 
の 形式 に つい て は 、「HTTP ダイ アロ グ 検 H 


間 で す 。 デ フォ ルト は 60000 (60 秒 ) で す 。 


長い 文字 列 
KENET, 
ショ ン を 含む 必須 フィ ー ル ド 。 サ ポー ト さ れる トラ ン ザ クシ ョ ン 
日 」 を 参照 し て くだ さい 。 


"timeout": 全体 の タイ ム ア ウ ト (LUM) を 含む オプ ショ ン の フィ ー ル ド 。 検 H 
定 可 能 な 最大 値 は 、180000 (180 秒 ) で す 。 


zu 


が ログ に 記録 さき れ ま す 。S8kB kV] 


長い 文字 列 の 場合 、 


日 を 実行 する 最大 合計 時 


HX 


"os": 検証 を 実行 する た め に スキ ャ ン 対 象 の オペ レー ティ ング シス テム に 一 致す る 必要 の ある PCRE 対応 
の 正規 表現 を 含む オプ ショ ン の フィ ー ル ド 。 こ の フィ ー ル ド の 照合 対象 と な る OS フィ ン ガ ー プ リン ト の タ 
イプ に つい て は 、「HTTP ダイ アロ グ 検 出 」 を 参照 し て くだ さい 。 


"not os": 検 記 


L 


E を 実行 する た め に スキ ャ ン 対 象 の オペ ベレ ー テ ィング シス テム に 一 致し な い PCRE 対応 の 
正規 表現 を 含む 6 オプ ショ ン の フィ ー ル ド 。 こ の フィ ー ル ド の 照合 対象 と な る OS フィ ン ガ ー プ リン ト の タイ 


プ に つい て は 、「HTTP ダイ アロ グ 検 出 」 を 参照 し て くだ さい 。 


si 


"ports": 検出 が 特定 の ポー ト で の み 実 行 さ れる よう 1 
複数 整数 の JSON 配列 を 指定 で きま す 。 各 整数 は 、 単 
実行 され る ポー ト を 制限 し ませ ん 。 す な わ ち 、 ト リガ 条 休 
出 が 実行 され ます 。 

"title": 検出 の タ 

る 必要 が あり ます 。 値 は 、 検 出 の 機能 に 影響 

で ず 。 


串 限 する オプ ショ ン の フィ ー ル ド 。 単 一 の 整 炒 ま た は 


を 与え そる こと は な く 、 一 部 の ログ メッ セー ジ に 使用 
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の 


F ま た は イベ ント が 適 


ポー ト 番 号 を 表し ます 。 デ フォ ルト で は 、 検 出 が 


]』 さ れる あら ゆる ポー ト で 検 


トル (説明 ) を 含む オプ ショ ン の フィ ー ル ド 。 存在 する 場合 は 、 値 は 文字 列 定数 で あ 


され る だ け 


QRDI 脆弱 性 定義 
出力 形式 


出力 形式 


QD が ポス ト さ れる と 、QID の 出力 に 以下 の 項 が 表示 され ます 。 
の 


平文 項 : report" トラ ン ザ クシ ョ ン で 終了 し た 検出 の 場合 、 こ の 項 に は 、"report『 トラ ン ザ クシ ョ ン 
で eval 式 が 計算 し た "result" の 値 が 含ま れ ま す 。 エ ラー で 終了 し た 検出 の 場合 、 こ の 項 に は 、 エ ラー 
メッ セー ジ が 含ま れ ま す 。 


«RESULT ERRORS» スキ ャ ン 結 果 の XML タグ : この タグ は 、 エ ラー で 終了 し た 検出 に の み 存 在 し ます 。 
この 場合 、 タ グ に エラ ー メ ッ セ ー ジ が 含ま れ ま す 。 


«RESULT DEBUG> スキ ャ ン 結 果 の XML タグ : debug level が 0 より 大 きい 場合 、 こ の タグ に は 、 検出 の 
処理 中 に 生成 され た デバ ッ グ デー タ (ログ メッ セー ジ ) が 含ま れ ま す 。 こ の デー タ は 、CDATA に まとめ ら 
れ ま す 。 こ の タグ は 、 検 出 の 終了 状態 に 関係 な く 生 成 さ れ ま す 。 す な わ ち 、 他 の 場合 に は QID が ポス ト さ 
れ な いよ うな 状態 で 検出 が 終了 ("stop" リ ター ン ア クシ ョ ン で 終了 ) し た 場合 で あっ て も 生成 され ます 。 
これ は 、 終 了 状 態 に 関係 な く 、 ト リガ 条件 が 満た され た 場合 、"debug 1eve1" が 0 より 大 きい と 、 検 出 
で は 常に 対応 する QID が ポス ト さ れる と いう こと で も あり ます 。 
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HTTP ダイ アロ グ 検 出 
"http get" お よび "http post" トラ ン ザ クシ ョ ン 


HTTP ダイ アロ グ 検 出 


Qualys は 、QRDI を 使用 し た HTTP タイ プ 検 出 を サポ ー ト し て いま す 。 こ の タイ プ の 検出 で は 、 最 上 位 の 
JSON オブ ジェ クト の "detection type" を "http dialog" に 設定 する 必要 が あり ます 。 


HTTP ダイ アロ グ 検 出 は 、 次 の いずれ か の 方 法 で トリ ガ で きま す 。 


"trigger type" を "service" に 設定 する 

スキ ャ ナ エ ン ジン が TCP サー ビス 検出 中 に 対象 の TCP ポー ト で 実行 され て いる HTTP また は HTTPS 
サー ビス を 検出 し た 場合 、 こ の トリ ガタ イプ が 設定 され た HTTP ダイ アロ グ 検 出 が その ポー ト 上 で 実行 さ 
れ ま す 。HTTP リク エス ト の "Host: " フィ ー ル ド が 対象 の IP アド レス に 設定 され ます 。 


"trigger type" を "virtual host" に 設定 する 

この トリ ガタ イプ で は 、 検 出 は 後 の VM スキ ャ ン で 実行 され ます 。HTTP/HTTPS サー ビス の 検出 後 、 ス 
キャ ナ エ ン ジン は 、 Web サー バ の フィ ン ガ ー プ リン ティ ング を 実行 し 、 仮想 ホス ト の ユー ザ 設 定 リ スト で 現 
在 の IP アデ ド レス と ポー ト を 確認 し ます 。 その後 、 確 認 済み の 各 仮 息 ホ スト で 、 こ の トリ ガタ イプ が 設定 さ 
れ た HTTP ダイ アロ グ 検 出 が 実行 され ます 。 HTTP リク エス ト の "Host:" フィ ー ル ド が 仮想 ホス ト 名 に 
設定 され ます 。 こ の トリ ガタ イプ で は 、1 つの IP アド レス と ボート で 、 仮想 ホス ト ご と に 1 回 ずつ 、HTTP 
ダイ アロ グ 検 出 を 複数 回 実行 する こと が で きま す 。 は これ ら の 検出 で 生成 され た QID イン スタ ンス は 
Qualys クラ ウド プラ ッ ト フ ォ ー ム で 別々 に レポ ー ト され 、 追 跡 さ れ ま す 。 


最上 位 の JSON オブ ジェ クト の "os" お よび "not os" フィー ルド と の 照合 に 使用 され る オペ レー ティ 
ング シス テム は 、TCP フィ ン ガ ー プ リン ティ ング 中 に 検出 され る オペ レー ティ ング シス テム で す 。 す な わ 
ち 、 オペ レー ティ ング シス テム は 、 "Technique" 列 が "TCP/IP の SEMS に 設定 され て 、 QID 
45017 に レポ ー ト され ます 。 対象 が ファ イア ウォ ー ル の 背後 に ある 場合 、 そ の フィ ン ガ ー プ リン ト は 正確 で 
な い 可 能 性 が あり ます 。 


HTTP ダイ アロ グ 検 出 は 、"http get", "http post", "process", BRU "report". の 4 タタ 
プ の トラ ン ザ クシ ョ ン を サポ ー ト し て いま す 。 "http get" お よび "http post" |i, HTTP トラ ン 
ザク ショ ン を 対象 で 実行 し ます 。 す な わ ち 、HTTP GET また は POST リク エス ト を 対象 に 送信 し 、 応 答 を 
待ち ます 。 すべ て の デー タ の エン コー ド お よび デコ ー ド は ラン タイ ム で 実行 され ます 。 "process" は 、 x 
新 の "http get" また は "http put" トランザクション の 結果 処理 に 使用 され ます 。 "report" 処 
理 の 機能 は 、 前 述 の と お り で す 。 


"http get" お よび "http post" トラ ン ザ クシ ョ ン 
サポ ー ト され る フィ ー ル ド : 
"object": eval 式 。 これ は 、 ホス ト 名 お よび “:” を フォ ロー する URL の 一 部 を 評価 する 必須 フィ ー ル ド 


Cu 通常 “/” で 始ま り 、 パ ス 、 フ ァイル 名 が 含ま れ 、GET リク エス ト で は エン コー ド さ れ た CGI が 含ま 
れ ま す (対象 の Web アプ リケーション で 必要 ) 。 ラ ンタ イム で URL エン コー ディ ング は 実行 され ませ ん 。 


この フィ ー ル ド の 値 は すでに URL エン コー ド さ れ た 形式 で ある 必要 が あり ます 。 


"data": eval 式 。 こ の フィ ー ル ド は 、"http post" トラ ン ザ クシ ョ ン の 必須 フィ ー ル ド で 、*http 
get" トラン ザク ショ ン で は 無視 され ます 。HTTP POST リク エス ト の 本 文 の 送信 デー タ が 評価 され ます 。 


"on error": グ クタ ー ン デ ク シ ョ ン 。 こ の オプ ショ ン フ フィー ルド は 、 ネ ットワーク エラ ー が 発生 し た 場合 に 
リタ ー ン アク ショ ン を 変更 し ます 。 デフ ォ ル ト の リタ ー ン アク ショ ン は 、 "message" フィ ー ル ド が 有効 な 
値 に 設定 され た "error" で す 。 こ れ に より 、 エ ラー が 発生 する と 、 検 出処 理 が 停止 し ます 。 特定 の トラ ン 
ザク ショ ン で エラ ー が 発生 し た と き に 検出 処理 を 停止 し た く な い 場 合 は 、 適切 な 対象 ラテ ベル で リタ ー ン アク 
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HTTP ダイ アロ グ 検 出 
"http get" お よび "http post" トラ ン ザ クシ ョ ン 


ショ ン を "continue" また は "goto" に 設定 で きま す 。 こ の フィ ー ル ド が 影響 する の は ネッ トワ ー ク エ 
ラー の み で す 。 Web サー バ が 返し た HTTP エラ ー コ ー ド は 、 こ の リタ ー ン アク ショ ン を トリ ガ せ ず 、 以 下 
に 説明 する "http status map" を 使用 し て 別個 に 処理 で きま す 。 


"http status map"r: デ フォ ルト で は 、 ネ ットワーク エラ ー の み が "error" リタ ー ン アク ショ ン と な 
ます 。 ネ ットワーク レベ ル で 成功 し た が HTTP ステ ー タ スコ ー ト が 200 (OK) と な ら な か っ た HTTP F 
ラン ザク ショ ン も 成功 し た と 判断 され 、 リ ター ン ア クシ ョ ン は 『continue" と な り ま す 。 こ の オプ ショ ン 
フィ ー ル で は 、 HTTP ステ ー タ スコ ー ド に 基づい て 、 リ ター ン ア クシ ョ ン を カス タマ イズ で きま す 。 例え ば 、 
ee タス コー ト (404 な ど ) を エラ ー と し て 処理 する こと が で きま す 。 こ の フィ ー ル 
ド の 値 は 、 JSON 配列 で 、 配列 の 各部 は "status" と "action" の 2 つの フィ ー ル ド を 持つ JSON オブ 
t s Luo E T de タス コー ド を 指定 する こと も 、 複 数 の ステ ー タ 
スコ ー ド の 配列 を 指定 する こと も で きま す 。 "action" フィ ー ル ド に は 、 対 応 す る リタ ー ン アク ショ ン を 
指定 し ます 。 ス テー タス コー ド は 、 完 全 一 致 で は 整数 、PCRE 正規 表現 一 致 で は 文字 列 で す 。 


例 : 


"http status map": [ 

("status": [403,404], "action": {"action": "error", "message": 
"http error"}}, 

("status": ""3[O .. 9] [O .. 9] ", "action": ("action": "goto", 
"label": "process 3xx"}} 


この 例 で は 、 HTTP ステ ー タ スコ ー ド 403 お よび 404 は エラ ー と し て 処理 され 、 検出 は 停止 し ます 。HTTP 
ステ ー タ スコ ー ド 3xx で は 、 ト ラン ザク ショ ン に "process 3xx" と ラベ ル 付 けさ れ て 処理 が 続行 され 
ます 。 


"timeout":HTTP デー タク 転送 の タダ タイムアウト (LUM) を 指定 する オプ ショ ン フ ィ ー ル ド 。 デ フォ ル 
は 60000 (60 秒 ) ©, HTTP デー タク 転送 に の み 適 用 され ます 。TCP 接続 の 確立 に は 適用 され ず 、 こ れ に は 
15 秒 と いう 固定 タイ ム ア ウ ト が あり ます 。 さ ら に 、HTTP 転送 全体 で 、 最 上 位 の ON オブ ジェ クト で 定 
義 さ れ た グロ ー バ ル タ イ ムウ ィ ン ド ウ が 使用 され ます 。 


"http header": eval 丈 。 こ れ は 、 リ クエ スト の 送信 時 に 、HTTP ヘッ ダ に 追加 され る 改行 区 切り ヘッ 
ダ 行 を 含む 単 一 文字 列 を 指定 し た オプ ショ ン フ ィ ー ル ド で す 。HTTP 標準 で 区 切り 文字 と し て “ \r\n ” を 使 
する こと が 求め られ て いて も 、 こ こ で 必要 な 区 切り 文字 は 、1 つの ライ ン フ ィ ー ド (“n”) の み で す 。 
“User-Agent: " で 始ま る 行 が ヘッ ダ 行 の 1 つと し て 含ま れ て いる 場合 、 そ の 行 は 、 通 常 ス キャ ナ エ ン ジン 
で 送信 され た ユー ザ エ ー ジ ェ ン ト 値 を 置換 し ます 。 


例 : 


"http header": Header1: valuel\nUser-Agent: foo\n" 


トラ ン ザ クシ ョ ン が 完了 する と 、 以下 の シス テム 変数 が ラン タイ ム に よっ て 設定 され 、 そ の 後 の ト ラン ザク 
ツン シン ョ ン で 使 ] され ます 。 


"body": HTTP 応答 本 文 の 内 容 (ベイ ロー ド )。 


"network status": ネッ トワ ー ク エラ ー の タイ プ を 説明 する 短い テキ スト 文字 列 (エラ ー が 発生 し な 
か っ た 場合 は “OK ”)。 


"http status": 応答 の HTTP ステ ー タ スコ ー ド を 持つ 整数 (ネッ トワ ー ク エラ ー の 場合 は 0)。 
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"process" トラ ン ザ クシ ョ ン 


"process" トラ ン ザ クシ ョ ン 
サポ ー ト され る フィ ー ル ド : 


"mode": 以下 の いずれ か の 値 を と る オプ ショ ン フ ィ ー ル ド 。 デ フォ ルト は "subgstring" で す 。 こ の 
フィ ー ル ド で は 、 入 力 に 対し て 実行 され る パタ ー ン 一 致 の タイ プ を 決定 し ます 。 


- "substring": 検索 式 は 、 大 文字 小文字 を 区 別 す る ソー ス の サブ 文字 列 で ある 必要 が あり ます 。 


- "luapattern": 検索 式 は 、Lua パタ ー ン と し て 解釈 され ます (Lua ドキ ュ メ ント の 「Patterms」 と いう 
章 を 参照 )。 


-- "regexp": 検索 式 は 、PCRE 対応 の 正規 表現 と し て 解釈 され ます (PCRE オプ ショ ン の DOTALL お よ 
U UTF8 で 実行 )。 


"match": eval cl これ は 、 検 索 式 を 文字 列 と し て 指定 する 必須 フィ ー ル ド で す 。 正確 な 意味 は 、"moder 
に よっ て 異な り ま す (上 記 参 照 )。regexp 用 語 で は 、 こ れ は 「needle」 と 呼ば れ ま す 。 


"source": eval cl, これ は 、 検 索 す る デー タ を 指定 する オプ ショ ン フ ィ ー ル ド で す 。 デ フォ ルト は 、 シ ス 
テム 変数 "body" の コン テン ツ で す 。 regexp 用 語 で は 、 こ れ は 「haystack」 と 呼ば れ ま す 。 


"extract": "mode" が 1uapattern" また は "regexp" の トラ ン ザ クシ ョ ン で は 、 一 致し た ソー ス 
文字 列 か ら 項 を 抽出 し 、 そ れ ら を ユー ザ 変 数 に コピ ー す る こと が で きま す 。 こ れ は 、“() ” で 対応 する サブ 
パタ ー ン を 囲む こと で 一 致 文字 列 に 表示 され ます (Lua お よび PCRE ドキ ュ メ ント を 参照 )。 "extract" 
フィ ー ル ド の 値 は 、 変 数 ご と に 抽出 され る ISON オブ ジェ クト を 1 つ 含 JSON 配列 で す 。 各 オブ ジェ ク 
hictt, {"var": quoted varname} と いう 形式 が 必要 で す 。 


変数 は 、 サ ブ プ パ ター ン に マッ ピン グ さ れ 、 配 列 で の 表示 順に 抽出 され ます 。 配列 の 最初 の 項目 は 、 常 に 完全 
一 致 の 文字 列 で す (PCRE の イン デック ス 0) 。 配列 内 の その 後 の す べ て の 項目 は 、 実 際 の サブ パタ ー ン に 
一 致し ます 。 


例 : 


"mode": "regexp", 

"source": "abcdefghijkl", 

"match": "b(c.*f)g(h.*j)", 

"extract": [("var": "y1"), {"var": "y2"), ("var": "vy3")] 


これ に より 、 以 下 の ユ ー ザ 変数 が 割り 当て られ ます 。 


"vl = "bcdefghij" 
"2 z "cdef" 
"3 z "hij n 


"on found": クター ング デ クション 。 こ の オプ ショ ン フ ィ ー ル ド は 、 パタ ー ン が 一 致し た 場合 に リタ ー ン ア 
クシ ョ ン を 変更 し ます 。 デ フォ ルト の リタ ー ン アク ショ ン は 、『continue" で す 。 


"on missing": グ タ ー ン デ ク シ ョ ン 。 こ の オプ ショ ン フ ィ ー ル ド は 、 パ ター ン が 一 致し な か っ た 場合 に 
リタ ー ン アク ショ ン を 変更 し ます 。 デ フォ ルト の リタ ー ン アク ショ ン は 、"gstop" Ct, 
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TCP ダイ アロ グ 検 出 


Qualys は 、QRDI を 使用 し た TCP タイ プ 検出 を サポ ー ト し て いま す 。 こ の タイ プ の 検出 で は 、 最 上 位 の 
JSON オブ ジェ クト の "detection type" を "tcp dialog" に 設定 する 必要 が あり ます 。 


TCP ダイ アロ グ 検 出 は 、 次 の いずれ か の 方 法 で トリ ガ で きま す 。 


"trigger type" を "service" に 設定 する 
これ を 設定 する と 、 ス キャ ナ エ ン ジン が 対象 の 待機 ポー ト で 実行 され て いる TCP サー ビス を 検出 し 、 そ の 
サー ビス の 名 前 が "services" フィ ー ル ド に リス ト さ れ た 名 前 の いずれ か と 一 致し た 場合 に 検出 が トリ 
HEMET, "services" は 、 サ ービス 名 を 表す 文字 列 の JSON 配列 を 含む 必須 フィ ー ル ド で す 。 名 前 
は 、QID 82023 (「 公 開 TCP サー ビス の 一 覧 (Open TCP Services List) |) の "Service Detected" 列 
に 表示 され る 名 前 と 同じ で す 。 


"trigger type" を "port" に 設定 する 

これ を 設定 する と 、 ス キャ ナ エ ン ジン が 対象 の 開か れ た TCP 待機 ポー ト を 検出 し 、 ポ ー ト 番号 が "ports" 
フィ ー ル ド に リス ト さ れ て いる 場合 に 検出 バト リガ され ます 。 "ports" tt, TCP ボート 番号 の JSON 配 
列 を 含む 必須 フィ ー ル ド で す 。 


最上 位 の JSON オブ ジェ クト の "os" お よび "not os" フィ ー ル ド と の 照合 に 使用 され る オペ レー ティ 
ング シス テム は 、TCP フィ ン ガ ー プ リン ティ ング 中 に 検出 され る オペ レー ティ ング シス テム で す 。 す な わ 
ち 、 オペ レー ティ ング シス テム は 、 "Technique" 列 が "TCP/IP Fingerprint" に 設定 され て 、QID 
45017 に レポ ー ト され ます 。 対象 が ファ イア ウォ ー ル の 背後 に ある 場合 、 そ の フィ ン ガ ー プ リン ト は 正確 で 
な い 可 能 性 が あり ます 。 

スキ ャ ナ エ ン ジン は 、 サ ービス が SSL/TLS 経由 で 実行 され て いる か どう か を 自動 的 に 検出 し ます 。 ま た 、 
一 部 の サー ビス で は 、 サ ービス が STARTTLS メカ ニズム 経由 の SSL/TLS へ の 接続 の アッ プ グ レー ド を サ 
ポー ト し て いる か どう か を 自動 的 に 検出 し ます 。STARTTLS は 、 現 在 、 以 下 の サ ービス で サポ ー ト され て 
いま す 。 


-- telnet 


-- smtp 
-- imap 


-- pop3 
-- ldap 


ss ftp 
-- PostgreSQL 


デフ ォ ル ト で は 、 検 出 は 、SSL/TLS が ネゴシエーション され て いる か どう か に 関係 な お く ト リガ され 、 常 に 
隔 用 可能 な 最高 の セキ ュ リ ティ レベ ル で 実行 され ます 。 す な わ ち 、SSL/TLS が 使用 で き な い 場合 、 検 出 は 
プレ ー ン TCP 経由 で 実行 され 、SSL/TLS が 使用 で きる 場合 (ポー ト 上 の ネイ ティ ブ ま た は STARTTLS 経 
貼 で 動 的 の いずれ か ) は 、 接 続 プ ロモ セス の 一 部 と し て 、SSL/TLS が 最初 に ネゴシエーション され 、 次 に 検 
出 が SSL/TLS 経 貼 で 実行 され ます 。 こ の 動作 は 上 書き で きま す 。SSL/TLS が 使用 可能 の 場合 に の み 、 ま た 
は 使用 不可 の 場合 に の み 検 出 が 実行 され る よう 制限 し た り 、 オ プシ ョ ン フ ィ ー ル ド の 『t1gs modes" Ef 
JLT, 検出 が 実行 され る 前 に STARTTLS また は SSL/TLS (また は 両方 ) が ネゴシエーション され る か ど 
うか を 制御 し た り で きま す 。 こ の フィ ー ル ド は 、 文 字 列 の JSON 配列 で ある 必要 が あり ます (存在 する 場合 )。 
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各 文 字 列 の 形式 は 以下 の と お り で す 。 


prefix ':' suffix 
検出 され た SSL/TLS 状態 の フィ ル タ と し て 機能 し ます 。 接 尾 辞 は 、 ラ ンタ イム に 実行 すべ き ネ ゴ シ エ ー シ ョ 
ン の 種類 を 指示 し ます 。1 つの 接頭 辞 に は 、1 つの 文字 列 の み を リス ト 表 示 で きま す 。 使 用 で きる 値 は 以下 
の と お り で す 。 


- "plain:plain": サー ビス で プレ ー ン テキ スト の み サ ポー ト さ れ て いる (STARTTLS お よび SSL/TLS 
は され て いな い ) 場合 、 検 出 を プレ ー ン テキ スト で 実行 し ます 。 


-- "tls:tls": サー ビス が TCP ポー ト 上 で ネイ ティ ブ に SSL/TLS 経 貼 で 実行 され て いる (STARTTLS を 
使用 し な い ) BA, SSL/TLS が 最初 に ネゴシエーション され 、SSL/TLS 経 貼 で 検出 が 実行 され ます 。 


- "tls:plain": サー ビス が TCP ポー ト 上 で ネイ ティ プ ブ に SSL/TLS 経由 で 実行 され て いる (STARTTLS 
を 使用 し な い ) 場合 、SSL/TLS が 最初 に ネゴシエーション され ず 、TCP 経由 で 検出 が 実行 され ます 。 ほ と 
ん どの 場合 、 検 出自 体 で SSL/TLS パケ ッ ト を 手動 で 送信 する 必要 が あり ます 。 
-- "starttls:tls":"tls:tls" と 同じ で す が 、STARTTLS を 使用 し て SSL/TLS を ネ ゴ シ エ ー シ ョ 


ン す る サー ビス 用 で す 。 ラ ンタ イム は 、STARTTLS、SSL/TLS の 順に ネゴシエーション し て か ら 、 検 出 に 
コン ト ロー ル を 渡 し ます 。 


--"starttls:plain": "tls:plain" と 同じ で す が 、 STARTTLS を 使用 し て SSL/TLS を ネ ゴ シ エ ー 
ショ ン す る サー ビス 用 で す 。 こ れ に より 、 サ ービス で STARTTLS が サポ ー ト され て いる 場合 で も 、 
STARTTLS を 使用 せ ず に 平文 形式 で サー ビス に アク セス で きま す 。 


-- "starttls:starttls": サー ビス が TCP ボート 上 で SSL/TLS を ネイ ティ ブ に サポ ー ト し て いる 
(STARTTLS を 使用 し な い ) 場合 、STARTTLS が 最初 に ネゴシエーション され 、SSL/TLS は ネ ゴ シ エ ー 
ショ ン さ れず 、TCP 経由 で 検出 が 実行 され ます 。 ほ と ん どの 場合 、 検 出自 体 で SSL/TLS パケ ッ ト を 手動 で 
送信 する 必要 が あり ます 。 


ポー ト さ れ て いる 接頭 辞 の 1 つが 指定 文字 列 の いずれ に も 表示 され な い 場 合 、 こ れ ら の プロ パテ ィ を 持つ 
ービス を 検出 すべ き で な いこ と を 示し ます 。 例 : 


- tls modes: ["tls:tls", "starttls:tls"]: 暗号 化 が 使用 で きる 場合 に の み 検 出 を 実行 し 、 
検出 に 暗号 化 を 使用 し ます 。 


- tls modes: ["plain:plain", "starttls:plain"]: 暗号 化 さ れ て いな い サ ービス が 使用 で 
きる 場合 に の み 検 出 を 実行 し 、 暗 号 化 せ ず に 検出 を 実行 し ます 。 


-- tls modes: ["tls:plain", "starttls:starttls"]:SSL/TLS が 使用 で きる 場合 に の み 検 
出 を 実行 し 、SSL/TLS プロ トコ ルレ ベル (これ より 上 は 不可 ) で 検出 を 実行 し ます 。 


TCP #4 7 U7 RUE, "send", "receive", "reconnect", "process", HKU "report" の 
5 つの タイ プ の トラ ン ザ クシ ョ ン を サポ ー ト し て いま す 。 "send" は 、 対象 に スト リー ミン グ デ ー タ を 送信 
する た め に 使用 し ます 。 "receive" を 使用 する と 、 デ ー タ が 対象 か ら 到達 する の を 待機 し て それ を 受信 
し 、 条 件 が 満た され る まで 動作 が 続行 され ます 。 "reconnect" を 使用 する と 、 対象 へ の 現在 の TCP 接続 
を 閉じ 、 同 じ ポ ー ト に も う 一 度 接続 し て 、 そ の 後 の す べ て の トラ ン ザ クシ ョ ン に 新しい 接続 を 使用 する よう 
に し ます 。 "process" は 、 最 新 の "receivem トラ ン ザ クシ ョ ン の 結果 処理 に 使用 され ます 。 "report" 
処理 の 機能 は 、 前 述 の と お り で す 。 


"Send", "receive", kU "reconnect" は 、 シ ステ ム 変 数 "network status" を "OK", 
"Timeout reached", "Error xxx" (Unix エラ ー コ ー ド を 持つ ) の いずれ か に 設定 し ます 。 エ ラー 
が 発生 し た 場合 、"on error" フィー ルド が "error" リ ター ン ア クシ ョ ン を 上 書き し な い 限 り 、 こ の リ 
ター ン ア クシ ョ ン が 生成 され ます 。 "on error" フィ ー ル ド の 形式 は 以下 の と お り で す 。 
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- "on error": クター ング デ ク シ ョ ン 。 この オプ ショ ン フ ィ ー ル ド は 、 ネ ットワーク エラ ー が 発生 し た 場合 


に リタ ー ン アク ショ ン を 変更 


な 値 に 設定 され た "error" で す 。 こ れ に より 、 エ ラー が 発 4 
ン ザ クシ ョ ン で エラ ー が 発生 し た と き に 検出 処理 


クシ ョ ン を "continue" また は "goto" に 設 


E す る と 、 検 出処 


し ます 。 デフ ォ ル ト の リタ ー ン アク ショ ン は 、"message" フィ ー ル 


: が 有効 


> 


"send" トラ ン ザ クシ ョ ン 


"gend" トラ ン ザ クシ ョ ン は 
し な か っ た 場合 、 


サポ ー ト され る フィ ー ル ド : 


、 現有 
リタ ー ン アク ショ ン 


ーッ ーー 


E ビ で きま す 。 


を 停止 し た く な い 場 合 は 、 適 サ 


[の 接続 
は 常 ( 


経 
こ 


で デー タ を 対象 に 送信 し ます 。 デー 
"continue" で す 。 


"data": eval 式 。 こ れ は 、 対 象 に 送信 され る デー タ ZRH 


"on error": 上 記 参 照 。 


"receive" トラ ン ザ クシ ョ ン 


"receive" トラ ン ザ クシ ョ ン は 、 デー タ が 対 
求 の 機能 
HH し て 照合 し た り で きま す 。 こ の 照合 プロ セス の 
し て いる か どう か を 者 


に 、 "process" トラ ン ザ クシ ョ ン と 同相 


ル を 使用 
続行 する の ! 
到達 
ザク ショ ン を その まま 続け 
到達 し た ら 


"Continue" 


"receive" トラ ン ザ クシ ョ ン の 照合 プ 
する こと で す 。 デ ー タ が 特定 の 条件 ! 


し て 照合 し た り 、Lua 関数 を 呼び 
こ 十 分 な デー タ が 対象 か ら 到 
し て いな い 場 合 、 リ ター ン ア クシ ョ ン "wait" fi 


ン の 他 の 決定 を する た め 、 な ど ) 
ラン ザク ショ ン で 実行 され ます 。 


"receive" トラ ン ザ クシ ョ ン に よっ て 、 次 の 2 つの シス テム 変数 が 


-- "input" に は 


され る た びに "input" の コン テン ツ に デー タ を 追加 し ます 。 す な わ ち 、 
"receive" トラ ン ザ クシ ョ ン 中 


- "all input" に 


ポー 
ルド が 追加 され て いま す 。 


-- "timeout": すべ て の "wait" リタ ー ン アク ショ ン で 、 


、 現 在 の 検 H 


され て いる フィ ー ル ド は 


ME 


UC. E DICAS OT —2 WIG 
リタ ー ン アク ショ ン 
ロ セ ス の 主 な 目 昌 
一 致し て いる か どう か の 確認 (脆弱 属 
は 、 通 常 、"receiven トラ ン ザ クシ ョ ン に 続く 別個 の process ト 


ot 
a 


する と 、 


H 
[au] 


象 か 


田 


E が 停止 し ます 。 特 
な 対象 ラベ ル で リタ ー ン ア 


E の トラ 


クタ 転 送 中 に エラ ー が 発生 


する 必須 フィ ー ル ド で す 。 


ら 到達 する の を 待機 し 、 デ ー タ が 利 


で これ を 処 


lr src. 


更 用 


を 


は 、 


、 現 在 の "receive" トラ ン ザ クシ ョ ン 中 
mwal モ tm リタ ー ン アク ショ ン を 使 


> 


可能 に な る と すぐ 


し ます 。 すなわち 、 デー タ を 異な る 一 致 ル ー 


的 は 、 検 出 を 
十分 な デー タ が 対象 か ら 


HEO "receive" トラ ン 


YO fem 
Fv 


TÉ 


E を 示 
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b 


バ し ます 。 十 分 な デー タ が 
ザク ショ ン に 進み ます 。 
まし て いる か ど うか を 判断 

、 ま た は トラ ン ザ クシ ョ 


E 新 され ます 。 


に 対象 か ら 受 信 し た デー タ が 含ま れ ま す 。 


現在 の トラ ン ザ クシ ョ ン を その まま 続け て 、 新規 デー タ が 受信 


に 受信 し た すべ て の 累積 デー タ が 含ま れ ま す 。 


秒 ) を 指定 する オプ ショ ン フ ィ ー ル ド 。 これ は 、 検 出 レ ベル で 


"reconnect" トラ ン ザ クシ ョ ン 


"reconnect" | 


クシ ョ ン に 新しい TCP 接続 を 使 


B 


1 する よう 


i. 現在 の TCP 接続 を 閉じ 、 同じ ポー ト に も う 


に し ます 。 
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HX 


トラ ン ザ クシ ョ ン 生 


EU 


eL 


Yo 


一 度 接 % 


"input" 


に 


は 、 現 在 の 


H 中 に 対象 か ら 受信 し た すべ て の デー タ 、 す べ て の 『receivem トラ ン 
PY vay CBRE urs ace pid 


. "process" トラ ン ザ クシ ョ ン の フィ ー ル ド と 同じ で す が 、 次 の フィ ー 


体 の タイ ム ア ウ ト (ミリ 


E さ れ た 値 を 上 書き し ます 。 


し て 、 そ の 後 の す べ て の トラ ン ザ 


サポ ー ト され る フィ ー ル ド : 


-- "timeout": 接続 プロ セス 全体 の タイ ム ア ウ ト ( ミ 


TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 1 


リ 秒 ) を 指定 する オプ ショ ン フ ィ ー ル ド 


。 該当 する 


場合 、StartTLS ネゴシエーション お よび SSL/TLS ネゴシエーション を 含み ます 。 こ れ は 、 検出 レベ ル で 設 


定 さ れ た 値 を 上 書き し ます 。 


- "tls modes": 検出 レベ ル で 、 前述 
出 レ ベル で 定義 され た 値 を 継承 し ます 。 こ こ 
使用 され ます 。 


"tcp dialog" の 例 1 


以下 の 例 で は 、 固 定 資格 情報 を 使 


ai 
up 


JLT, IMAP アカ ウン ト か ら 最 新 の 全 メ ッ セ ー ジ の 数 を 読み 
1』 さ れ 、Lua 関数 は 使用 され ませ ん 。 


"detection type": "tcp dialog", 
"api version": 1, 
"trigger type": "service", 
"Services": ["imap", "imaps"], 
"title": "test check 1", 
"dialog": [ 
{ 
"transaction": "send", 
"data": "a001 LOGIN myuser mypassword\n" 
hi 
{ 
"transaction": "receive", 
"mode": "luapattern", 
"match": "Nna001 [*\n]*\n" 
fa 
{ 
"transaction": "process", 
"mode": "luapattern", 
"match": "\na001 OK[*\n]*\n" 
Fi 
{ 
"transaction": "send", 
"data": "a002 SELECT INBOX\n" 
T 
{ 
"transaction": "receive", 
"mode": "luapattern", 
"match": "Nna002 [*\n]*\n" 
js 
{ 
"transaction": "process", 
"mode": "luapattern", 
"match": "Nna002 OK [*\n] *\n" 
), 
{ 
"transaction": "process", 
"mode": "luapattern", 
"match": "\n[*] ($d«) RECENT[*\n]*\n", 
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ict eee ieee Ce ger ン フ フィールド 。 デ フォ ルト は 、、 


に 別 の 値 を 指定 する と 、 新 し い 接 続 で は ここ で 指定 され た 値 カ 


取り ます 。 


TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 2 


"extract": [{}, ("var": "recent"}] 
}, 
{ 
"transaction": "process", 
"mode": "luapattern", 
"match": "\n[*] (%d+) EXISTS[*\n]*\n", 
"extract": [{}, {"var": "exists"}] 
I 
{ 
"transaction": "report", 
"result": {"concat": ["number of recent messages=", 
{"user": "recent"}, "\n", "total number of messages=", {"user": 


"exists" } : "\n"] } 


} 


} 
"tcp dialog" の 例 2 


以下 の 例 で は 、 対 象 が サポ ー ト する 最高 の SMB プロ トコ ル バ ー ジ ョ ン を 検索 し ます 。SMB は バイ ナリ プ 
ロト コル で ある た め 、 こ の 例 で は 、 パ ケッ ト の 生成 と 解析 に Lua 関数 が 使用 され ます 。 


Json 部 分 : 


"detection type": "tcp dialog", 
"api version": 1, 
"trigger type": "service", 
"Services": ["microsoft-ds"], 
"title": "test check 2", 
"dialog": [ 
{ 
"transaction": "send", 
"data": {"call": {"name": 
"qrdiuser smb create vl negotiate"}} 
}, 
{ 


"transaction": "receive", 

"mode": "call", 

"name": "qrdiuser smb check" 
"transaction": "process", 

"mode": "call", 

"name": "qrdiuser smb process packet" 
"transaction": "send", 

"data": {"call": {"name": 


"qrdiuser smb create v2 negotiate"]] 
} r 
{ 


"transaction": "receive", 
"mode": "call", 


30 


Lua 部 分 ( 


TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 2 


"name": "qrdiuser smb check" 
"transaction": "process", 

"mode": "call", 

"name": "qrdiuser smb process packet" 


}, 


// never reached via fall through 


{ 


"transaction": "report", 
"mode": "luapattern", 
"result": {"user": "result"} 


Ef Lua 関数 ライ ブラ リ に 含ま れる 必要 の ある 関数 ) 


function qrdiuser smb check(ctx) 


local len, tmpl, tmp2, tmp3; 


if #ctx.system.input < 4 then 
return "wait"; 
end 
if 0 -- string.byte(ctx.system.input, 1) then 
return {action="error", message-"Not an SMB packet" )} 
end 
tmpl, tmp2, tmp3 - string.byte(ctx.system.input, 2, 4) 
len = (((Emp1 * 256) + tmp2) * 256) + tmp3 
if len « 4 then 
return (action-"error", message-"Not an SMB packet") 
end 
if #ctx.system.input « 8 then 
return "wait" 
end 
if string.sub(ctx.system.input, 6, 8) ~= "SMB" then 
return {action="error", message-"Not an SMB packet") 
end 
tmpl - string.byte(ctx.system.input, 5) 
if tmpl ~= 254 and tmpl ~= 255 then 
return {action="error", message-"Not an SMB packet") 
end 
if #ctx.system.input < 4 + len then 
return "wait" 


end 
qrdisystem unget (ctx, #ctx.system.input - (4 + len)) 
ctx.user.packet = string.sub(ctx.system.input, -len) 


return "continue" 


end 


function grdiuser smb create packet(ctx, data) 


local len = #data 
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TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 2 
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return string.char(0, len »» 16 , (len »» 8) $ 256, len $ 256) 
data 
end 


function grdiuser smb create vl packet(ctx, hdr, words, bytes) 
local numb, numw, str, _, v 


numb = #bytes 
numw = #words 
str = hdr .. string.char (numw) 
for _, v in ipairs(words) do 
str = str .. string.char(v % 256, v >> 8) 
end 
str = str .. string.char(numb % 256, numb >> 8) .. bytes 
return qrdiuser smb create packet (ctx, str) 
end 


function grdiuser smb create vl negotiate (ctx) 

return qrdiuser smb create vl packet (ctx, 
"NAX£ffSMBNxX72NX00NX00NX00NX00NX00NX03NXX40NX00NX00NX00NX0ONXOONXOONX 
00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00", {}, 
"\x02SMB 2.???\x00\x02SMB 2.002\x00\x02NT LM 0.12\x00") 
end 


function grdiuser smb create v2 packet (ctx, cmd, data) 
local msgid 


msgid - ctx.user.smbv2 nextmsgid or 1 
ctx.user.smbv2 nextmsgid = msgid + 1 
return qrdiuser smb create packet(ctx, 


"\xfeSMB\x40\x00\x00\x00\x00\x00\x00\x00" .. string.char(cmd $ 256, 
cmd >> 8) .. "\x81\x00\x00\x00\x00\x00\x00\x00\x00\x00" 
string.char(msgid $ 256, msgid »» 8) : 
"\x00\x00\x00\x00\x00\x00\xff\xfe\x00\x00" .. string.rep("\x00", 
28) .. data) 

end 


function grdiuser smb create v2 negotiate (ctx) 
local data, dialects, dlen, negoff, plen, negdata, neglen, 
negcnt, _, v 


negdata - 
"\x01\x00\x26\x00\x00\x00\x00\x00\x01\x00\x20\x00\x01\x00" 


"\x00\x11\x22\x33\x44\x55\x66\x77\x88\x99\xaa\xbb\xcc\xdd\xee\xff" 


"\x00\x11\x22\x33\x44\x55\x66\x77\x88\x99\xaa\xbb\xcc\xdd\xee\xff£" 


"\x00\x00" 
"\x02\x00\x06\x00\x00\x00\x00\x00\x02\x00\x02\x00\x01\x00" 
neglen = #negdata 

negcnt = 2 

dialects = {0x0311, 0x0302, 0x0300, 0x0210, 0x0202} 
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TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 2 


dlen 

data = "\x24\x00" .. string.char(dlen % 256, dlen >> 8) 1 
"\x01\x00\x00\x00\x44\x00\x00\x00\x01\x23\x45\x67\x89\xab\xcd\xef\ 
x01\x23\x45\x67\x89\xab\xcd\xef£" 

negoff = #data + 8 + (2 * dlen) + 7 


o 


negoff = negoff - (negoff % 8) 


#dialects 


plen = negoff - (#data + 8 + (2 * dlen)) 

negoff = negoff + 64 

data = data .. string.char(negoff $ 256, negoff >> 8, 0, 0, negcnt 
$ 256, negcnt >> 8, 0, 0) 

for , v in ipairs (dialects) do 

data - data .. string.char(v $ 256, v »» 8) 
end 
data = data .. string.rep("\x00", plen) .. negdata 


return qrdiuser smb create v2 packet(ctx, 0, data) 
end 


function grdiuser smb process vl packet (ctx) 
local tmp 


if #ctx.user.packet < 33 then 

return {action="error", message="Not an SMBv1 packet") 
end 
tmp = string.byte(ctx.user.packet, 10) 


if (tmp & 0x80) ~= 0x80 then 
return (action-"error", message="Stream loopback" } 
end 
tmp = string.byte(ctx.user.packet, 5) 
if tmp ~= 0x72 then 
return {action="error", message-"Unexpected SMBv1 packet") 
end 
if string.sub(ctx.user.packet, 6, 9) ~= "\x00\x00\x00\x00" then 
return (action-"error", message-"SMBv1 negotiation failed"} 
end 


-- No need to parse further. The only SMBv1 dialect we offer is 
"NT LM 0.12". 
-- All other dialects would get reported in an SMBv2 packet 


ctx.user.result - "Negotiated SMBv1 NT LM 0.12" 
return "report" 
end 


function grdiuser smb process v2 packet (ctx) 
local tmpl, tmp2, ver 


if #ctx.user.packet < 64 then 

return {action="error", message="Not an SMBv2 packet"} 
end 
tmpl = string.byte(ctx.user.packet, 17) 


if (tmpl & 1) ~= 1 then 
return (action-"error", message="Stream loopback" } 
end 
tmpl, tmp2 = string.byte(ctx.user.packet, 13, 14) 
if tmpl + (256 * tmp2) ~= 0 then 
return {action="error", message="Unexpected SMBv2 packet"} 
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TCP ダイ アロ グ 検 出 
"tcp dialog" の 例 2 


end 
if string.sub(ctx.user.packet, 9, 12) ~= "\x00\x00\x00\x00" then 
return (action-"error", message-"SMBv2 negotiation failed") 
end 
if #ctx.user.packet < 72 then 
return (action-"error", message-"Invalid SMBv2 negotiate 
response") 
end 


tmpl, tmp2 - string.byte(ctx.user.packet, 69, 70) 
ver = tmpl + (256 * tmp2) 
if ver == 0x02ff then 
if ctx.user.v2sent then 
return (action-"error", message-"SMBv2 negotiation is 


looping" } 
else 
ctx.user.v2sent = true 
return "continue" 

end 
elseif ver == 0x0202 then 

ctx.user.result = "Negotiated SMBv2.0.2" 
elseif ver == 0x0210 then 

ctx.user.result = "Negotiated SMBv2.1" 
elseif ver == 0x0300 then 

ctx.user.result = "Negotiated SMBv3.0" 
elseif ver == 0x0302 then 

ctx.user.result = "Negotiated SMBv3.0.2" 
elseif ver == 0x0311 then 

ctx.user.result = "Negotiated SMBv3.1.1" 
else 

return {action="error", message="Invalid SMBv2 dialect"} 
end 
return "report" 

end 


function grdiuser smb process packet (ctx) 
local type - string.byte(ctx.user.packet, 1) 


if type -- 254 then 
return qrdiuser smb process v2 packet (ctx) 
else 
return qgrdiuser smb process vl packet (ctx) 
end 
end 
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LUA スク リプ ティ ング 
共有 Lua 関数 ライ ブラ リ 


LUA スク リプ ティ ング 


QRDI は 、 すべ て の 検出 で 共有 され て いる Lua 関数 の ライ ブラ リ の 概念 を サポ ー ト し て いま す 。 これ を 使用 
する と 、 複 雑 な デー タ 生成 や 解析 ルー ル の 実装 が 可能 に な り 、 特 に バイ ナリ プロ トコ ル で は 、 サ ブ 文 字 列 お 
よび 正規 表示 で 十分 な 機能 が 提供 され な い 機 能 を 実装 で きま す 。Lua 関数 は 、 次 の 2 つの 目的 に 使用 で きま 
す 。 


-- eval expression で 、 デ ー タ 項目 を 


m 


』 的 に 計算 する 。 この 場合 、Lua 関数 は デー タ 値 を 返す 必要 が あり ます 。 


-- "process" また は 同様 の トラ ン ザ クシ ョ ン ("receive") C, 受信 デー タ を 処理 する 。 この 場合 、 Lua 
関数 は リタ ー ン アク ショ ン を 返す 必要 が あり ます 。 


ラン タイ ム が 呼び 出す Lua 関数 は 、 常 に 、 少 な く と も 1 つの 引数 で 呼び 出さ れ ま す (ユー ザ 変 数 お よび シ 
ステ ム 変 数 へ の アク セス に 使用 で きる コン テキ スト を 表す テー ブル ) 。 その他 の 引数 は 、 ト ラン ザク ショ ン 
で 指定 で きま す 。 


現在 使用 され て いる の は 、 イ ンタ ー プ リタ が マイ ナー 修正 され た Lua バージョン 5.3 で す 。 
は 、 下 記 の 「Lua ラン タイ ょ ム 環境 」 を 参照 し て くだ さい 。 


共有 Lua 関数 ライ ブラ リ 


一 連 の Lua 関数 定義 か ら な る 共有 関数 ライ ブラ リ で す 。 各 定義 の 形式 は 以下 の と お り で す 。 


半 細 に つい て 


nul 


function qrdiuser my function 1(otx, additional args) 
lua function body 
end 


ライ ブラ リ で 定義 され て いる すべ て の 関数 の 名 前 は 、 接 頭 辞 "qrdiuser "で 始ま る 必要 が あり ます 。 


検出 か ら 直 接 呼び 出さ れる 関数 に は すべ て 、 現 在 の コン テキ スト を 受け 入れ る た め の 少 な く と も 1 つの 引数 
が 必要 で す 。 


引数 を 追加 する こと も で きま す 。 他 の Lua 関数 で 呼び 出す こと が で きれ ば よい 関数 の 引数 に 制限 は あり ませ 
ん 。 


kA Lua 関数 ライ ブラ リ で は 、 上 記 の 形式 の 関数 定義 の み 許 可 さ れ て いま す 。 そ の 他 の Lua コー ド は 許可 
され て いま せん 。 特に 、 グ ロー バル 変数 、 関 数 定義 以外 の Lua コー ド は 許可 され て いま せん 。 


Lua ライ ンタ イム 環境 


各 関 数 に 渡さ れる ctx 引数 は 、ctx .user と ctx.system の 2 つの フィ ー ル ド を 持つ Lua テー ブル で 
す 。 こ れ ら の テー ブル 自体 が Lua テー ブル で 、 そ れ ぞ れ が 、 す べ て の ユー ザ 変 数 、 す べ て の シス テム 変数 を 
含ん で いま す 。ctx ベー ステ ー ブ ル と ctx. system テー ブル は 、 読 み 取 り 専 用 で 、 変 更 で きま せん 。 
ctx.user テー ブル は 変更 で きま す 。. 


JSON と Lua 間 で デー タ を 交換 する 必要 が ある 場合 、 自 然 な 方 法 で タイ プ が マッ ピン グ さ れ ま す 。 す な わ 
ち 、 あ る 環境 の すべ て の シン プル タイ プ が も う 1 つの 環境 の 対応 する シン プル タイ プ に マッ ピン グ さ れ ま 
す 。 JSON 配列 は 、 整 数 に よっ て イン デック ス 作 成 さ れ た Lu テー ブル に マッ ピン グ さ れ ま す 。 JSON オブ 
ジェ クト は 、 文 字 列 に よっ て イン デック ス 作 成 さ れ た Lua テー ブル に マッ ピン グ さ れ ま す 。 
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LUA スク リプ ティ ング 
Lua ライ ンタ イム 環境 


ユー ザ 定 義 さ れ た Lua 関数 は 、 通 常 の Lua 関数 より も 制限 の ある サン ド ボ ッ クス 環境 内 で 実行 され ます 。 こ 
れ は 、 定義 が 妥当 な 時 間 お よび メモ リ 制 限 内 で 実行 で きる よう に する た め 、 ま た 、 今 後 の Lua バー ジョ ン の 
アデ アップグレード に より 非 互換 性 が 発生 する リス ク を 最小 限 に 抑え る た めで す 。 

ユー ザ 定 義 の Lua 関数 か ら は 、 Lua グロ ー バ ル 変 数 の サ プ セ ッ ト の み が ア クセ ス 可 能 で す 。 これ ら の グロ ー 
バル 変数 は 読み 取り 専用 で す (関数 の 場合 、 呼 び 出 し ) 。 グ ロー バル 変数 へ の 書き 込み 、 グ ロー バル 変数 の 
新規 作成 、 下 記 に 示 し た 以外 の グロ ー バ ル 変 数 へ の アク セス は 、 一 切 で きま せん 。 関数 セッ ト で 、1 つの 検 


出 内 の 複数 の 関数 呼び 出し 間 で 状態 を 維持 し た い 場 合 は 、 グ ロー バル 変数 で は な く 、 ユ ー ザ 変数 (ctx .user 


A) を 使用 し ます 。 以 下 の グ ロー バル 変数 が 読み 取り / 呼び 出し 可能 で す 。 


- assert 

- error 

-- ipairs 
--math (すべ で て の メン バー) 
-- next 

-- pairs 

-- select 

-- string (string.dump 以外 の すべ て の メン バー) 
-- table (すべ て の メン バー) 
-- tonumber 

-- tostring 

-- type 

- ut£8 (すべ で て の メン バー) 
-- VERSION 


すべ て の ユー ザ 定 義 関数 ("qrdiuser " で 始ま る 関数 ) 以外 に も 、QRDI ラン タイ ム が 提供 する すべ て 
の 関数 ("qrdisystem "で 始ま る 関数 ) を 呼び 出す こと が で きま す 。 


以下 の ラン タイ ムリ ソー ス 制 限 が 適用 され ます 。 


-- Lua 関数 ライ ブラ リ の サイ ズ が 1 MB に 制限 され ます (ソー スコ ー ド の 長 さ )。 
- 検出 の 実行 中 に Lua イン ター プリ タ に よっ て 割り 当て られ る メモ リ の 総計 (コー ド 、 データ など 、 あら ゆ 


る 目的 ) が 4 MB に 制限 され ます 。 


- 1 つの 検出 で 実行 で きる Lua オペ コー ド の 総数 (お お むね Lua 命令 に マッ ピン グ さ れる ) が 100,000 に 


る こと で す 。 例 えば 、 可 能 な 限り 、 バ ッ フ ァ 内 で バイ 


string.* 関数 を 使用 する 必要 が あり ます 。 また 、 圧縮 、 


に 実装 する こと は で きま せん 。 過度 な CPU リソー ス が 


制限 され ます 。 こ の 制限 の 目的 は 、 適 正 な プロ グラ ミン グ 動 作 を 行い 、 過 度 な CPU リソー ス の 使用 を 避け 


に 対し て 繰り 返し 手動 実行 する の で は な く 、Lua 


E 


EAE, Ao vate e, 非常 に 複雑 な 操作 を Lua 


上 月 され る た めで す 。 こ の よう な 機能 が 必要 な 場合 


は 、 そ の 機能 が QRDI ラン タイ ム 了 環境 の 一 部 と し て 提供 され る よう 、 機 能 の リク エス ト を 行っ て くだ さい 。 


上 記 の 制限 は QRDI ラン タイ ム で 実行 され 、 違反 する と 通常 、 ラ ンタ イム エラ ー と な り 、 検 出 が エラ ー に よ 


り 中 止 さ れ ま す 。 


36 


LUA スク リプ ティ ング 
Lua シス テム 関数 


Lua シス テム 関数 


QRDI ラン タイ ム は 、 ユ ー ザ 定義 の Lua 関数 か ら 呼 び 出 せる いく つか の Lua 関数 を エク スポ ー ト し ます 。 こ 
れ ら の すべて の 関数 の 名 前 は 、"qrdisystem "で 始ま り ま す 。 


qrdisystem_log 
qrdisystem log (ctx, log level, ...) 


この 関数 は 、 す べ て の 検出 タイ プ で 使用 で きま す 。 


"qrdisystem log" iX, QID 出力 の /INFO/DEBUGDATA 項 に 追加 され る ログ メッ セー ジ の 生 
] さ れ ま す 。 詳細 に つい て は 、 上 記 の 「 出 力 形式 」 の 項 を 参照 し て くだ さい 。 


"etx" は 、 す べべ て の Lua 関数 が 最初 の 引数 と し て 受け 取る コン テキ スト で す 。 


T 
E 
[y 
Sn 
H 


"log 1eve1" は 、 ロ グ (デバッグ) レベ ル を 示す 整数 で す 。 "log level" が debug level" の 値 以 
下 で ある 場合 、 メ ッ セ ー ジ が デバ ッ グ ログ に 表示 され ます 。 詳 細 に つい て は 、「 出 力 形式 」 の 項 を 参照 し て く 
だ さい 。 関 数 呼び 出し 内 の " log level " に 続く 引数 は 、 文 字 列 に 変換 され 、 連 結 さ れ て 、 ass 記録 さ 
れる メッ セー ジ が 作成 され ます 。 シン プル な タイ プ (数 値 、 文 字 列 、 ブ ー ル 型 、 ニ ル ) が 使用 で きま す 。 


FE ° 


qrdisystem_unget 


qrdisystem unget (ctx, num bytes) 


この 関数 は 、『tep dialog" タイ プ の 検出 で 使用 で きま す 。 


"qrdisystem unget" は 、 入 力 バ ッ フ ァ (シス テム 変数 "input" の 最後 か ら "num bytes" を 削除 
し 、 そ れ ら を 内 部 unget バッ ファ の 最後 に 追加 し ます 。 


"etx" は 、 す べべ て の Lua 関数 が 最初 の 引数 と し て 受け 取る コン テキ スト で す 。 こ の 関数 は 、 現 在 の プロ 
コル メッ セー ジ の 一 部 で な いた め 、 その後 の トラ ン ザ クシ ョ ン で 処 時 す べき で な い 入力 バッ ファ の 最後 の バ 
イト 数 を 示す た め に 、n"receive" トラ ン ザ クシ ョ ン で 呼び 出さ れる Lua 関数 で 使用 ら 3 れる も の で す 。 こ 
の 方 法 で 入力 バッ ファ か ら 削 除 さ れ た バイ ト は 、 次 の "receivem トラ ン ザ クシ ョ ン で 入力 バッ ファ の 最 
初 に 自動 的 に 挿入 され 、 そ の トラ ン ザ クシ ョ ン は 、 ブ ロッ ク さ れる こと な く 、 照 合 ロ ジッ ク を 即座 に トリ ガ 
LES 


例 : 


- "receive" トラ ン ザ クシ ョ ン が 開始 され て ブロ ッ ク さ れ 、 最初 の TCP パケ ッ ト の 200 バイ ト を 受信 し 
ます 。 ブ ロッ ク 人 解除 さ れ 、Lua 照合 機能 が 呼び 出さ れ ま す 。 


-- 照合 機能 に より 、 200 の うち の 128 バイ ト の み が 最 初 の プロ トコ ル メ ッ セ ー ジ に 属し て いる た め 、 解析 が 
必要 で ある と 判断 され ます 。 "continue" リタ ー ン アク ショ ン を 返す 前 に 、Lua 照合 機能 は 
qrdisystem unget(ctx, 72) を 呼び 出し て 、 余 分 な 72 バイ ト を 先送り し ます 。 


- 入力 バッ ファ に は 、 最 初 の 128 バイ ト の み が 含 まれ る よう に な り 、 そ の 後 の "process" トラ ン ザ クシ ョ 
ン で 処理 で きる よう に な り ま す 。 


- 次 の "receive" トランザクション が 開始 され る と 、 余 分 な 72 バイ ト は 入力 バッ ファ の 最初 に 配置 さ 
れ 、Lua 照合 関数 が 即座 に 呼び 出さ れ ま す 。 こ こ で は 、 eas リタ ー ン アク ショ ン で デー タ を 受け 
入れ る (さら に 、 バ ッ フ ァ の バイ ト が まだ 多 過ぎ る 場合 は 、 再 び "qrdisystem unget" を 呼び 出す ) 
か 、"watt" リ ター ン ア クシ ョ ン で さら に 多く の デー タ を 待機 する こと が で きま す 。 
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qrdisystem is tcp port open 


qrdisystem is tcp port open(ctx, port num) 


“ORL, "tep dialog" タイ プ の 検出 で 使用 で きま す 。 


"qrdisystem is tcp port open" |i, "port num" で 示さ れ た TCP ポー ト が 対象 で 開い て いる 
か どう か を チェ ッ ク し ます 。 


"etx" は 、 す べ て の Lua 関数 が 最初 の 引数 と し て 受け 取る コン テキ スト で す 。 ポ ー ト が 開い て いる か どう 
か を 示す ブー ル 型 の 戻り 値 で す 。 ポ ボー ト が 開い て いる と 判断 され る に は 、 ポ ボー ト が 現在 の スキ ャ ン で スキ ャ 
ン さ れる TCP ポー ト の リス ト に 含ま れ て いる 必要 が あり ます 。 そ の リス ト に 含ま れ な い ポ ー ト 番号 は 、 対 
象 で 開い て いて も 、 通 常 、 閉 じ て い る と レポ ー ト され ます 。 
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Qualys API の サポ ー ト 


Qualys API は 、Qualys が 指定 する 脆弱 性 と 同様 に QRDI 脆弱 性 を サポ ー ト し ます 。XML 出力 の DTD に 
変更 は あり ませ ん 。 ア カウ ント で QRDI 脆弱 性 を 管理 する 際 に 実行 で きる API 呼び 出し の 例 を いく つか 以 
下 に 示 し ます 。 


API v2 サポ ー ト | API VI サポ ー ト 


API v2 サポ ー ト 
API v2 は 、QRDI 脆弱 性 の スキ ャ ン と レポ ー ト を サポ ー ト し ます 。 以 下 に 例 を 示 し ます 。 


QRDI 脆弱 性 チェ ッ ク で の スキ ャ ン の 開始 


スキ ャ ン API v2 を 使用 し て スキ ャ ン を 開始 し ます 。 オ プシ ョ ンプ ロフ ァイル Initial Options」 は 、QRDI 
脆弱 性 と Qualys が 指定 する 脆弱 性 を 含む 、 ユ ー ザ アカ ウン ト 内 の すべ て の 脆弱 性 チェ ッ ク に 設定 され て い 
ます 。 


API リ クエ スト : 


curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X "POST" - 
d 

"action-launch&exclude ip per scan-64.39.96.0-64.39.111.255&ip-10. 
10.24.35,10.10.25.71,10.10.25.80,10.10.25.82,10.10.25.165,10.10.25 
.165,10.10.25.238,10.10.26.98&scan title-VM SCAN APT 1500217432&op 
tion title-Initial Options" 
"https://qualysapi.qualys.com/api/2.0/fo/scan/" 


XML 出力 : 


スキ ャ ン 結 果 (XML 形式 ) を 参照 


ホス ト ベ ー ス の アセ ッ ト レ ポー ト の 開始 


レポ ー ト API v2 を 使用 し て アセ ッ ト デ ー タ レポ ー ト (ホス ト ベ ー ス の レポ ー ト ) を 開始 し ます 。 下記 の 例 
で は 、TP 10.20.31.111 で QRDI 脆弱 性 が 検出 され 、 レ ポー ト の 例 に 検出 イン スタ ンス が 表示 され て いま す 
(VULN INFO タグ )。 


API リ クエ スト : 


curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X "POST" - 
d 

"action-launch&report type-Scan&output format-html&template id-420 
6744&report title-APILaunchReport SCAN&ips-10.20.31.111" 
"https://qualysapi.qualys.com/api/2.0/fo/report/" 
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XML 出力 : 


シン プル な 戻り 値 の 例 を 以下 に 示し ます 。 


«?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE GENERIC SYSTEM 
"https://qualysapi.qualys.com/api/2.0/simple return.dtd"> 
«SIMPLE RETURN» 

«RESPONSE» 
<DATETIME>2017-08-02T21:45:23Z</DATETIME> 
<TEXT>New report launched</TEXT> 
«ITEM LIST» 

«ITEM» 
<KEY>ID</KEY> 
<VALUE>1665</VALUE> 
</ITEM> 
«/ITEM LIST- 
</RESPONSE> 
«/SIMPLE RETURN» 


レポ ー ト の 例 ・ 


<?xml version="1.0" encoding-"UTF-8" ?> 


<!DOCTYPE ASSET DATA REPORT SYSTEM 
"https: //qualysguard.qualys.com/asset_data_report.dtd"> 
«ASSET DATA REPORT» 
«HEADER» 
«COMPANY ><! [CDATA [Acme] ] ></COMPANY> 
<USERNAME>acme_rm</USERNAME> 


API v2 サポ ー ト 


«GENERATION DATETIME>2017-08-04T09:54:22Z</GENERATION DATETTME> 


<TEMPLATE><! [CDATA [Host -based-Report007] ] ></TEMPLATE> 
<TARGET> 
«USER ASSET GROUPS> 


«ASSET GROUP TITLE><! [CDATA [ORDT - AG] ] ></ASSET GROUP TITLE» 


«/USER ASSET GROUPS» 
«COMBINED IP LIST» 

«RANGE network id-"2002"-» 
<START>10.20.31.111</START> 
<END>10.20.31.111</END> 

</ RANGE> 

«/COMBINED IP LIST» 


«HOST LIST» 
«HOST» 
«IP network id-z"2002"210.20.31.111«/IP» 
«TRACKING METHOD>IP</TRACKING METHOD» 


<VULN INFO LIST» 
«VULN INFO» 
<QID id="qid_410002">410002</QID> 
<TYPE>Vuln</TYPE> 
<PORT>1443</PORT> 
<PROTOCOL>tcp</ PROTOCOL > 
<SSL>true</SSL> 
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<RESULT><! [CDATA [Regex Pattern found on page] ]></RESULT> 
<FIRST_FOUND>2017-08-01T09:26:55Z</FIRST_FOUND> 
<LAST_FOUND>2017-08-03T09:05:08Z</LAST_FOUND> 
<TIMES FOUND>4</TIMES FOUND> 
<VULN_STATUS>Active</VULN_STATUS> 
«CVSS FINAL>-</CVSS_FINAL> 
<CVSS3_FINAL>-</CVSS3_FINAL> 
«TICKET NUMBER>3991</TICKET NUMBER» 
«TICKET STATE>OPEN</TICKET STATE> 

</VULN_INFO> 


スキ ャ ン ベ ー ス の アセ ッ ト レ ポー ト の 開始 


レポ ー ト API v2 を 使用 し て スキ ャ ン ベ ー ス の レポ ー ト を 開始 し ます 。 こ の 例 で は 、 ス キャ ン 参 照 
scan/1500204665.47146 が QRDI 脆弱 性 チェ ッ ク を 実行 し まし た 。QRDI 脆弱 性 検出 は 、 ダ ウロ ー ド され 
た レポ ー ト に 表示 され ます (ある 場合 )。 


API リ クエ スト ・ 


curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X "POST" - 
d 
"action-launch&report type-Scan&output format-xml&template id-4209 
732&report title-APILaunchReport SCAN&report refs-scan/1500204665. 
47146&ip restriction-10.10.25.169&use tags=l&tag include selector- 
all&tag set by-name&tag set include-AG IP Multi SA 1486742574" 
"https://qualysapi.qualys.com/api/2.0/fo/report/" 


な 戻り 値 を 参照 


の 例 ・ 


スキ ャ ン 結 果 (XML 形式 ) を 参照 
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アセ ッ ト 検 索 レポ ー ト の ダウ ン ロ ー ド 

デモ セッ ト 検 索 APL v2 を 使用 し て 、QRDI 脆弱 性 検出 の ある アセ ッ ト の アセ モッ ト 検 索 レポ ー ト を ダウ ン ロ ー 
ド し ます 。 こ の レポ ー ト 例 は 、IP アド レス 10.20.31.111 を 持つ アデ セット で QRD 脆弱 性 410002 が 検出 さ 
れ た こと を 示し て いま す 。 


API リ クエ スト ・ 


curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X "POST" - 
d "action-search&output format-xml&ips-10.20.31.111&qids-410002" 
"https://qualysapi.qualys.com/api/2.0/fo/report/asset/" 


XML 出力 : 


<?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE ASSET SEARCH REPORT SYSTEM 
"https: //qualysguard.qualys.com/asset_ search report _v2.dtd"> 


<ASSET SEARCH REPORT> 
<HEADER> 
<COMPANY><! [CDATA[My Corp] ] ></COMPANY> 
<USERNAME>corp_abl</USERNAME> 
«GENERATION DATETIME>2017-08-08T06:25:52Z</GENERATION DATETIME> 
<TOTAL>1</TOTAL> 
<FILTERS> 
<IP_LIST> 
«RANGE» 
<START>10.20.31.111</START> 
<END>10.20.31.111</END> 
</ RANGE> 
«/IP LIST» 
«FILTER OTD><! [CDATA[410002]]></FILTER_QID> 
</FILTERS> 
</HEADER> 
«HOST LIST» 
«HOST» 
<IP><! [CDATA[10.20.31.111]]></IP> 
<TRACKING METHOD>IP address</TRACKING METHOD> 
«DNS»«! [CDATA [ubu-31-111.m12k8.abc.mycorp.com] ] ></DNS> 
«OPERATING SYSTEM><! [CDATA [Ubuntu / Fedora / Tiny Core Linux / 


Linux 3.x] ] ></OPERATTNG SYSTEM> 
«OID LIST» 
<QID> 
<ID><! [CDATA [410002] ] ></ID> 
</QID> 


</QID_LIST> 
<NETWORK><! [CDATA [My Custom Network] ] ></NETWORK> 
«LAST SCAN DATE>2017-08-07T10:00:38Z</LAST SCAN DATE» 
«FIRST FOUND DATE22017-08-01T09:30:24Z«/FIRST FOUND DATE» 
</HOST> 
«/HOST LIST- 
«/ASSET SEARCH REPORT» 
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Knowledgebase QID の ダウ ン ロ ー ド 


KnowledgeBase APIv2 を 使用 し て 、KnowledgeBase か ら QRDI 脆弱 性 を ダウ ン ロ ー ド し ます 。 こ の 例 は 、 
QID 410010 を 持つ QRDI 脆弱 性 の 詳細 を 示し て いま す 。 


API Y 


ZmAb: 


XML H 


curl -u "USERNAME:PASSWORD" -H "X-Requested-With: Curl" -X "POST" - 
d 
"action-list&details-All&show disabled flag-1&show vuln detection 
info-1&ids-410010" 
"https://qualysapi.qualys.com/api/2.0/fo/knowledge base/vuln/" 


HZ: 


<?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE KNOWLEDGE BASE VULN LIST OUTPUT SYSTEM 
"https: //qualysapi.qualys.com/api/2.0/fo/knowledge_base/vuln/knowl 
edge base vuln list output.dtd"> 
«KNOWLEDGE BASE VULN LIST OUTPUT> 
«RESPONSE» 
<DATETIME>2017-08-08T06:26:29Z</DATETIME> 
«VULN LIST» 
<VULN> 
<QID>410010</QID> 
<VULN_TYPE>Information Gathered</VULN_TYPE> 
«SEVERITY LEVEL»21«/SEVERITY LEVEL» 
<TITLE><! [CDATA [qrd1 http 10]]></TITLE> 
<CATEGORY>QRDI</CATEGORY> 
«LAST CUSTOMIZATION> 
<DATETIME>2017-07-26T09:14:58Z</DATETIME> 
<USER_LOGIN>corp_ab1</USER_LOGIN> 
</LAST_CUSTOMIZATION> 
<LAST SERVICE MODIFICATION DATETIME>2017-07- 
21T09:15:09Z«/LAST SERVICE MODIFICATION DATETIME> 
«PUBLISHED DATETIME>2017-07- 
21T09:15:09Z«/PUBLISHED DATETTME> 
<PATCHABLE>0</PATCHABLE> 
<VENDOR_REFERENCE LIST> 
«VENDOR REFERENCE» 
<ID><! [CDATA[ven<img src=z>dor-2]]></ID> 
<URL><! [CDATA[https://vendor.com] ] ></URL> 
</VENDOR_REFERENCE> 
</VENDOR_REFERENCE LIST» 
«CVE LIST» 
<CVE> 
<ID><! [CDATA [CVE-2017-1111] ] ></ TD> 
<URL><! [CDATA [http://cve.mitre.org/cgi- 
bin/cvename.cgi?name=CVE-2017-1111] ] ></URL> 
</CVE> 
«/CVE LIST- 
<DIAGNOSIS><! [CDATA [custom threat 
description] ] ></DIAGNOSIS> 
<CONSEQUENCE><! [CDATA[custom impact 
description] ] ></CONSEQUENCE> 
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<SOLUTION><! [CDATA [custom solution 
description] ] ></SOLUTTON> 
«PCI FLAG>0</PCT FLAG» 
<DISCOVERY> 
<REMOTE>0</REMOTE> 
</DISCOVERY> 
<IS DTSABLED>0</TS DISABLED> 
</VULN> 
</VULN LTST> 
</ RESPONSE» 
</ KNOWLEDGE BASE VULN LIST OUTPUT 


動 的 な 検索 リス ト の 作成 
検索 リス ト API を 使用 し て 、 す べ て の QRDI 脆弱 性 (categories-QRDI) の 動 的 な 検索 リス ト を 作成 
し ます 。 
API リ クエ スト : 
curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X "POST" 
d "action-create&title-ORDI-Search List&global-0&comments-Search 
List Created BY API&categories=QRDI" 
"https://qualysapi.qualys.com/api/2.0/fo/qid/search list/dynamic/" 
XML 出力 : 


<?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE SIMPLE RETURN SYSTEM 
"https: //qualysapi.qualys.com/api/2.0/simple_ return.dtd"> 
<SIMPLE RETURN> 
«RESPONSE» 
<DATETIME>2017-08-08T06:31:46Z</DATETIME> 
<TEXT>New search list created successfully</TEXT> 
«ITEM LIST» 
<ITEM> 
<KEY>ID</KEY> 
<VALUE>119176</VALUE> 
</ITEM> 
«/ITEM LIST> 
</RESPONSE> 
«/SIMPLE RETURN» 


ホス ト VM 検出 デー タ の ダウ ン ロ ー ド 


ホス ト VM 検出 APIv2 を 使用 し て 、VM 検出 レコ ュー ド は 、 選 択 し た アセ ッ ト の QRDI fist 
示し ます 。 デ バッ グ 情 報 (ロギング デー タ ま た は エラ ー) は 表示 され ませ ん 。 


API リ クエ スト ・ 


curl -u "USERNAME : PASSWORD" -H "X-Requested-With: Curl" -X 
d "action-list&ips-10.20.31.111&show igs-1&qids-410010" 


"https://qualysapi.qualys.com/api/2.0/fo/asset/host/vm/detection/" 
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<?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE HOST LIST VM DETECTION OUTPUT SYSTEM 
"https://qualysapi.qualys.com/api/2.0/fo/asset/host/vm/detection/h 
ost list vm detection output.dtd"- 
«HOST LIST VM DETECTION OUTPUT» 
«RESPONSE» 
<DATETIME>2017-08-08T06:47:52Z</DATETIME> 
«HOST LIST» 


«HOST» 
<ID>342802</ID> 
<IP>10.20.31.111</IP> 
<TRACKING METHOD>IP</TRACKING METHOD> 
«NETWORK ID22002«/NETWORK ID» 
<OS><! [CDATA [Ubuntu / Fedora / Tiny Core Linux / Linux 


3.x]]»«/0S» 


«DNS»«! [CDATA [ubu-31-111.m12k8.abc.corp.com] ] ></DNS> 
<LAST SCAN DATETIME>2017-08- 


07T10:02:01Z</LAST SCAN DATETTME> 


«LAST VM SCANNED DATE>2017-08- 


07T10:00:38Z</LAST VM SCANNED DATE» 


page] ] ></RESULTS> 


«LAST VM SCANNED DURATTON>487</LAST VM SCANNED DURATTON> 
«DETECTION LIST» 
«DETECTION» 

<OTD>410010</OTD> 

<TYPE>Info</TYPE> 

<PORT>8080</PORT> 

<PROTOCOL>tcp</PROTOCOL> 

<RESULTS><! [CDATA[Regex Pattern found on 


<LAST PROCESSED DATETIME>2017-08- 


07T10:02:01Z</LAST PROCESSED DATETIME> 


</DETECTTON> 
</DETECTTON LTST> 
</HOST> 


«/HOST LIST> 
</ RESPONSE> 
</HOST LIST VM DETECTION OUTPUT> 


オプ ショ ンプ ロフ ァイル の エク スポ ー ト / インポ ー ト 
オプ ショ ンプ ロフ ァイル API を 使用 する と 、 ユ ー ザ は 、1 つの サブ スク リプ ショ ン か ら 別 の サブ スク リプ 


ショ ン に XML 


多 式 で オプ ショ ンプ ロフ ァイル を エク スポ ー ト / イ ン ポ ー ト する こと が で きま す 。API ユー 


ザ に は マネ ー ジ ャ ロー ル が 必要 で す 。 


オプ ショ ンプ ロフ ァイル の エク スポ ー ト 
オプ ショ ンプ ロフ ァイル で TAM QRDI checks」 オ プシ ョ ン が オン に な っ て いる と 、XML に 
<QRDI CHECKS>1</QORDI CHECKS» と 表示 され ます 。 


API リ クエ スト ・ 


curl 


-u "USERNAME:PASSWORD" -H "X-Requested-With:curl" 
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-X GET "action-export" 
"https://qualysapi.qualys.com/api/2.0/fo/subscription/option profi 
le/" 


ユー ザ の アカ ウン ト の すべ て の オプ ショ ンプ ロフ ァイル が XML 形式 で エク スポ ー ト され ます 。 
XML 出力 : 


<?xml version="1.0" encoding="UTF-8" ?> 
<!DOCTYPE OPTION PROFILES SYSTEM 
"https: //qualysapi.qualys.com/api/2.0/fo/subscription/option profi 
le/option profile info.dtd"> 
«OPTION PROFILES» 
«OPTION PROFILE» 
«BASIC INFO» 
<ID>111186</ID> 
<GROUP NAME»«! [CDATA[OP-SCAN]]»«/GROUP NAME- 


«GROUP TYPE»user«/GROUP TYPE» 
«USER ID><! [CDATA [John Doe(john doe) ] ] ></USER ID» 
«UNIT TD>0</UNTT ID» 

«SUBSCRIPTION ID>44</SUBSCRIPTION ID» 
«IS DEFAULT20«/IS DEFAULT» 
«IS GLOBATi>1</TS GLOBAL- 
«IS OFFLINE SYNCABLE>0</IS OFFLINE SYNCABLE> 
«UPDATE DATE»2N/A«/UPDATE DATE> 
«/BASIC INFO» 
«SCAN» 
«PORTS» 
«TCP PORTS» 
«TCP PORTS TYPE>full</TCP_ PORTS TYPE» 
«THREE WAY HANDSHAKE>1</THREE WAY HANDSHAKE> 
«/TCP PORTS» 


«VULNERABILITY DETECTION» 
«CUSTOM LIST» 
«CUSTOM» 
<ID>2096</ID> 
<TITLE><! [CDATA [Scan Report Template: High Severity 
Report] ] ></TITLE> 
</CUSTOM> 
<CUSTOM> 
<ID>87938</ID> 
<TITLE><! [CDATA [Windows Authentication Results 
v.1]]»«/TITLE» 
</CUSTOM> 
<CUSTOM> 
<ID>87939</ID> 
<TITLE><! [CDATA [Unix Authentication Results 
v.1]]»«/TITLE» 
</CUSTOM> 
</CUSTOM LIST- 
<DETECTTON TNCLUDE> 
«BASIC HOST INFO CHECKS>1</BASTC HOST INFO CHECK8> 
«OVAL CHECKS»21«/OVAL CHECKS» 
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«QRDI CHECKS>1</ORDT CHECKS» 
«/DETECTION INCLUDE- 


オプ ショ ンプ ロフ ァイル の イン ポー ト 


オプ ショ 
QRDI ch 


オプ ショ 


ンプ ロフ ァイル XML に <QRDI_CHECKS>1</QRDI_ CHECKS» を 含め て 、 プ ロフ ァイル の 「All 
ecks」 オ プシ ョ ン を オン に し ます 。 


ンプ ロフ ァイル の イン ポー ト API を 呼び 出す 場合 、 ユ ー ザ は 、Content-Type XML を 持つ 適切 な 


XML を 渡す 必要 が あり ます 。 こ れ に より 、 そ の ユー ザ の サブ スク リプ ショ ン に オプ ショ ンプ ロフ ァイル が 


作成 され 


ます 。 オ プシ ョ ンプ ロフ ァイル の イン ポー ト API を 使用 し て オプ ショ ンプ ロフ ァイル を 作成 する 


と き に 、Qualys ポー タル UI の 場合 と 同じ く 、 す べ て の 検証 が 適用 され ます 。 検 証 の 詳細 に つい て は 、『Qualys 
API v2 User Guide] を 参照 し て くだ さい 。 


API リク 


注記 Ex 


リク エス 


エス ト : 


curl -u "USERNAME : PASSWORD" -H "content-type: text/xml"-X "POST" 
--data-binary GExport OP.xml 
"https://qualysapi.qualys.com/api/2.0/fo/subscription/option profi 
le/?action-import" 


port OPxml に は 、 リ クエ スト POST デー タ が 含ま れ ま す 。 
ト POST デー タ : 


<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE OPTION PROFILES SYSTEM 
"https: //qualysapi.qualys.com/api/2.0/fo/subscription/option profi 
le/option profile info.dtd"> 
«OPTION PROFILES» 
«OPTION PROFILE» 
«BASIC INFO» 
<ID>11123</ID> 
<GROUP NAME»«! [CDATA [OP- SCAN] ] ></GROUP_NAME> 


«GROUP TYPE»user«/GROUP TYPE> 
«USER TD><! [CDATA [John Doe (john doe) ] ] ></USER ID» 
«UNIT TD>0</UNTT ID» 

«SUBSCRIPTION ID>76084</SUBSCRIPTION ID> 
«IS DEFAULT20«/IS DEFAULT» 
«IS GLOBATi>1</TS GLOBAL> 
«IS OFFLINE SYNCABLE>0</IS OFFLINE SYNCABLE> 
«UPDATE DATE>N/A</UPDATE DATE> 
«/BASIC INFO» 
«SCAN» 
«PORTS» 
«TCP PORTS» 
«TCP PORTS TYPE»-full«/TCP PORTS TYPE» 
«THREE WAY HANDSHAKE>1</THREE WAY HANDSHAKE> 
«/TCP PORTS» 


«VULNERABILITY DETECTION» 
«CUSTOM LIST» 
«CUSTOM» 
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<TD>2096</ TD> 
<TITLE><! [CDATA [Scan Report Template: High Severity 
Report] ] ></TITLE> 
</CUSTOM> 
<CUSTOM> 
<ID>87938</ID> 
<TITLE><! [CDATA[Windows Authentication Results 
v.1]]»«/TITLE» 
</CUSTOM> 
<CUSTOM> 
<ID>87939</ID> 
<TITLE><! [CDATA [Unix Authentication Results 
v.1]]»«/TITLE» 
</ CUSTOM> 
</CUSTOM LIST» 
<DETECTTON TNCLUDE> 
«BASIC HOST INFO _ CHECKS>1</BASTC HOST INFO CHECK8> 
«OVAL CHECKS»21«/OVAL CHECKS» 
«QRDI CHECKS>1</ORDT CHECKS» 
«/DETECTION INCLUDE- 


XML 応答 : 


<?xml version="1.0" encoding-"UTF-8" ?> 
<!DOCTYPE SIMPLE RETURN SYSTEM 
"https://qualysapi.qualys.com/api/2.0/simple return.dtd"> 
«SIMPLE RETURN» 
«RESPONSE» 
<DATETIME>2017-04-03T11:17:43Z</DATETIME> 
<TEXT>Successfully imported Option profile for the subscription 
Id 76084</TEXT> 
«ITEM LIST» 
«ITEM» 
<KEY>111234</KEY> 
<VALUE>My-OP</VALUE> 
</ITEM> 
«/ITEM LIST» 
</RESPONSE> 
«/SIMPLE RETURN» 


API v1 サポ ー ト 


API v1 iX, QRDI 脆弱 性 の スキ ャ ン と レポ ー ト を サポ ー ト し ます 。 以 下 に 例 を 示し ます 。 


スキ ャ ン v1 (Imsp/scan.php) の 開始 


スキ ャ ン の オプ ショ ンプ ロフ ァイル で 定義 され て いる 場合 、 QRDI 脆弱 性 チェ ッ ク を 実行 する スキ ャ ン を 開 
始 し ます 。 


スケ ジュ ー ル スキ ャ ン v1 (/msp/scheduled_scans.php) の 設定 


スケ ジュ ー ル スキ ャ ン の オプ ショ ンプ ロフ ァイル で 定義 され て いる 場合 、 QRDI 脆弱 性 チェ ッ ク を 実行 する 
スケ ジュ ー ル スキ ャ ン を 定義 し ます 。 
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スキ ャ ン レ ポー ト v1 (msplscan report.php) の ダウ ン ロ ー ド 
スキ ャ ン で 検出 され た 場合 、QRDI 脆弱 性 を 含む スキ ャ ン レ ポー ト を ダウ ン ロ ー ド し ます 。 


アセ ッ ト 検 索 レポート v1 (/Umsp/lasset search.php) の ダウ ン ロ ー ド 
対象 の アセ ッ ト で 検出 され た 場合 、QRDI 脆弱 性 を 含む アデ セッ ト 検 索 レポ ー ト を ダウ ン ロ ー ド し ます 。 


チケ ッ ト リ スト v1 (msplticket listphp) の ダウ ン ロ ー ド 
対象 の アセ ッ ト で 検出 され た 場合 、QRDI 脆弱 性 を 含む 改善 チケ ッ ト リ スト を ダウ ン ロ ー ド し ます 。 


KnowledgeBase 'J A k v1 (/msp/knowledgebase download.php) の ダウ ン ロ ー ド 


サブ スク リプ ショ ン に 追加 され た 場合 、QRDI 脆弱 性 を 含む KnowledgeBase の 完全 な QID リス ト を ダウ ン 
ロー ド し ます 。 
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